Розроблення комплексної системи безпеки підприємства.. Розрахунково

Розроблення комплексної системи безпеки підприємства.

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

Інститут комп’ютерних технологій, автоматики та метрології

Факультет:

Не вказано

Кафедра:

Захист інформації

Інформація про роботу

Рік:

2006

Тип роботи:

Розрахунково - графічна робота

Предмет:

Інші

Завантажити

Частина тексту файла (без зображень, графіків і формул):

Міністерство науки та освіти України Національний університет „Львівська політехніка” Інститут комп’ютерної техніки, автоматики та метрології кафедра „захисту інформації” Розрахунково-графічна робота на тему “Розроблення комплексної системи безпеки підприємства”. Виконав: ст. групи ІБ Прийняв: Львів – 2006 Мета : Розробити проект комплексної системи безпеки Лабораторії для розроблення та виготовлення програмованих логічних матриць , в якій циркулює ІзОД. Забезпечити захист від несанкціонованого знаття інформації ,а саме: Інформація стосовно досліджень, які проводяться в лабораторії, частина з якої є інформацією для службового користування та державною таємницею ,в даному приміщені і на території об’єкту. 1.Визначення та перелік об’єктів які підлягають захисту. 1.1. Персонал: Системний адміністратор – слідкує за справністю мережі, за стабільністю її роботи та надійність виходу в Інтернет, доглядає за роботою Ethernet мережі, принтера, модему, відповідає за телефонне з’єднання офісу і лабораторії. Слідкує за програмним забезпеченням. Працівники лабораторії – проводять дослідження і тестування програмованих логічних матриць. Електрик – доглядає за роботою трансформатора та розподільних щитків, проводки, розеток, вимикачів та іншого електричного обладнання. Сантехнік – доглядає за роботою каналізаційного люка та люка водопостачання, системи каналізації в будівлі. Прибиральниця – прибирає на території підприємства. Служба безпеки - працівники лабораторії, що стежать за виконанням порядків, що встановлені адміністрацією підприємства, охорона підприємства. 1.2. Матеріальні ресурси: Об’єкти, що не мають безпосереднього відношення до ІзОД, однак відіграють важливу роль у функціонуванні та роботі підприємства: а) огорожа – основний візуальний та фізичний рубіж захисту підприємства від доступу до нього та навколишнього спостереження. б) трансформаторна підстанція – основний енергетичний носій підприємства, який постачає електроенергію у всі об’єкти та приміщення підприємства в) контрольно пропускний пункт – об’єкт, що забезпечує доступ на територію підприємства. г) паркувальна площадка – об’єкт, для розміщення автомобілів підприємства та працівників. 1.3. Інформаційні ресурси: Системи та засоби, що безпосередньо обробляють інформацію, віднесену до державної таємниці а також конфіденційну інформацію (ОТЗ): а) локальна мережа з 3-х комп’ютерів, один з яких виділений під сервер з виходом в Internet; б) програматор ПЛМ; в) комплекс для тестування ПЛМ; г) сигнальні лінії мережі Ethernet; д) принтер; е) зовнішній модем; Системи та засоби, що обробляють інформацію загального користування (ТЗПІ, які не є основними), але також потребують захисту: а) телевізор, відеоплеєр; б) проводовий телефон та радіотелефон; в) вимірювальні прилади; г) сканер, ксерокс; Технічні засоби і системи, що не відносяться до засобів і систем інформатизації (ТЗПІ), та обробки ІзОД, але розміщені в приміщеннях, у яких вона циркулює: а) кабелі телефонного зв’язку; б) лінії мережі електроживлення; в) лампи денного світла; г) пристрій для знищення паперу; д) сторонні не задіяні дроти; е) настільна лампа; 2. Побудова моделей об’єктів захисту. 2.1 об’єкти захисту. План об’єкту: EMBED Visio.Drawing.11 Персонал.-обслуговує роботу підприємства. Персонал може бути джерелом порушення захисту інформації. Приміщення лабораторії. Забезпечує якісне та зручне використання елементів оброблення та зберігання інформації. Елементи приміщення лабораторії можуть були джерелами витоку інформації. ОТЗ – технічні засоби прийому, обробки, збереження та передачі інформації, що віднесена до державної та службової таємниці. За допомогою цих засобів здійснюється циркуляція ІзОД. Спочатку інформацію вводять в комп’ютери(з інших носіїв інформації або шляхом створення її на комп’ютері), вона зберігається, обробляється, надсилається на пристрої, що підключені до мережі. Інформація може виводитись на дисплеї комп’ютерів, за допомогою принтера. Можливе пересилання інформації через модем в глобальну мережу Ethernet. Дані засоби по своїй фізичній природі можуть слугувати джерелами витоку ІзОД. Неосновні ТЗПІ – системи та засоби, що використовуються як неосновні. Фактично ІзОД в цих засобах не циркулює. Використовуються для того щоб забезпечити комфортніші і зручніші умови роботи працівників, збільшити швидкодію та оперативність роботи підприємства. Дані засоби по своїй фізичній природі можуть слугувати джерелами витоку ІзОД. ДТЗС – технічні засоби і системи, що не відносяться до засобів і систем інформатизації (ТЗПІ), але розміщені в приміщеннях, у яких обробляється інформація з обмеженим доступом. З одного боку деякі ДТЗС є необов’язковими, так як використовуються чисто в особистих інтересах працівників (настільна лампа), інші ж такі як кабелі телефонного зв’язку, лінії мережі електроживлення, відіграють важливу роль у функціонуванні підприємства і тому без них обійтися неможливо. Дані засоби по своїй фізичній природі можуть слугувати джерелами витоку ІзОД. Зовнішній двір та елементи, що розташовані на ньому – об’єкти зо забезпечують життєзабезпечення будівлі лабораторії. Елементи зовнішнього двору можуть бути джерелами загрози інформації. Модель об’єктів захисту Модель порушника Таким чином, розглянуті нами потенційні цілеспрямовані (навмисні) та випадкові загрози є двома основних класами прояву можливих загроз НСД до інформації ІС ОВС. Оскільки час та місце факту умисної загрози НСД передбачити неможливо, доцільно прогнозувати узагальнену інформаційно-аналітичну модель поведінки потенційного порушника ТЗІ в найбільш загрозливих ситуаціях, а саме: 1) порушник може з’явитися в будь-який час та в будь-якому місці периметру безпеки ІС; 2) кваліфікація та освіченість порушника ТЗІ можуть бути на рівні розробника даної системи; 3) інформація щодо принципів роботи системи, у тому числі і таємна, порушнику ТЗІ відома; 4) для досягнення своєї мети порушник ТЗІ вибиратиме найбільш слабкішу ланку в захисті; 5) порушником ТЗІ може бути не тільки стороння особа, але і санкціонований користувач системи; 6) порушник діє один. Для кращого розуміння того як поведе себе порушник, формалізуємо типову модель стратегії поведінки порушника ТЗІ в інформаційній мережі: 1) одержати несанкціонований доступ до захищуваної інформації; 2) видати себе за іншого користувача, щоб зняти з себе відповідальність або ж використати його повноваження з метою формування хибної інформації, зміни санкціонованої інформації, застосування хибного посвідчення особи, санкціонування хибних обмінів інформацією або їх підтвердження ; 3) відмовитись від факту формування переданої інформації; 4) стверджувати, що інформація одержана від деякого санкціонованого користувача, хоча вона сформована самим же порушником ТЗІ; 5) стверджувати, що одержувачу в визначений термін часу була надіслана інформація, яка насправді не відсилалася (або відсилалась в інший термін часу); 6) відмовитись від факту одержання інформації, яка насправді була одержана або стверджувати щодо іншого терміну її одержання; 7) несанкціоновано змінити повноваження інших санкціонованих користувачів (розширити або обмежити, вивести або ввести інших осіб і т. ін.); 8) несанкціоновано розширити свої повноваження по доступу до захищуваної інформації та її обробці; 9) приховати факт наявності деякої інформації в іншій інформації (потайна передача однієї в змісті іншої інформації); 10) підключитись до ліній зв’язку між іншими користувачами в ролі активного ретранслятора; 11) вивчити- хто, коли і до якої інформації отримує доступ (навіть якщо сама захищувана інформація залишається недоступною); 12) заявити щодо сумнівності протоколу забезпечення інформацією із-за розкриття деякої інформації, яка згідно умовам протоколу обміну повинна залишатися обмеженою; 13) модифікувати програмне забезпечення шляхом вилучення або надання нових функцій; 14) умисно змінити протокол обміну інформацією з метою його порушення або підриву довіри до нього; 15) заважати обміну повідомленнями між іншими санкціонованими користувачами шляхом введення перешкод з метою порушення автентифікації повідомлень. Подані вище формалізовані моделі стратегії поведінки порушника ТЗІ в обчислювальних мережах вказують на те, наскільки важливо знати , кого рахувати порушником ТЗІ. При цьому в ролі потенційного порушника ТЗІ може бути не тільки стороння особа, але і санкціонований користувач ІС, наприклад, навіть адміністратор системи з наступним блокуванням реєстрації своїх дій в ІС 5.Нормативно-правове забезпечення На сьогоднішній день інформація відіграє ключову роль в функціонуванні суспільних і державних інститутів, а також в житті кожної людини. Ефект, який досягається за рахунок впровадження інформаційних технологій, зростає при збільшенні масштабів обробки інформації, включаючи обчислювальні мережі та автоматизовані системи управління Дослідження українського законодавства в сфері інформаційних правовідносин, тобто суспільних відносин щодо володіння, користування і розпорядження інформацією, констатує, що нормативне забезпечення цієї галузі має невисокий загальний рівень розробленості. Як позитивне, слід насамперед зазначити визнання державою права власності на інформацію. Тому, відповідно до ст.41 Конституції, інформація є предметом державної охорони, яка забезпечується Законом “Про інформацію” від 2 жовтня 1992 року, Законом “Про захист інформації в автоматизованих системах” та ст. 198-1 кримінального кодексу. Крім цих документів до нормативно-правової бази, яка регулює інформаційні правовідносини треба віднести наступні: Положення про Державний комітет України з питань державних секретів та технічного захисту інформації. Затверджено Указом Президента України від 05.11.96р. №1047\96. Положенням визначено основні завдання Держкомсекретів України, його обов’язки та права щодо реалізації державної політики у сфері забезпечення охорони державної таємниці та технічного захисту інформації у межах, встановлених законами України, а також щодо координації режимно-секретної діяльності та функціонування інфраструктури системи технічного захисту інформації центральних та місцевих органів виконавчої влади, підприємств, установ і організації усіх форм власності, дипломатичних представництв та інших об’єктів України за кордоном. Положення про технічний захист в Україні. Затверджено постановою КМУ від 09.09.94р. №632. Положення визначає об’єкт захисту та мету ТЗІ, структуру та основні завдання складових частин системи ТЗІ, порядок та організацію комплексного технічного захисту інформації з обмеженим доступом на об’єктах різного призначення і організацію контролю за ефективністю ТЗІ. Постанова КМУ від 13.01.95р. №24. “Про заходи щодо виконання постанови Верховної Ради України від 05.07.94р. №80”. “Про введення в дію Закону України “Про захист інформації в автоматизованих системах” та статті 34 Закону України “Про державну таємницю”. Цією Постановою також схвалена “Програма робіт з організації стандартизації та сертифікації в галузі технічного захисту інформації на 1995-1998 роки”. Положення про порядок видачі суб’єктам підприємницької діяльності спеціальних дозволів (ліцензій) на здійснення окремих видів діяльності. Затверджено Постановою КМУ від 17.05.94р. №316. Положення визначає види діяльності, на які передбачена законодавчими актами України видача спеціальних дозволів (ліцензій), в тому числі виробництво та сервісне обслуговування систем і засобів виконання робіт, надання послуг, що забезпечують технічний захист інформації. Положення також визначає умови і правила одержання ліцензій. Інструкція щодо умов і правил здійснення діяльності у галузі технічного захисту інформації та контролю за її дотриманням. Затверджено наказом ДСТЗІ від 26.05.94р. №46, зареєстровано в Мінюсті України 01.06.94р. №120\329. Інструкція визначає умови і правила здійснення діяльності у галузі ТЗІ по виробництву та сервісному обслуговуванню систем і засобів, виконання робіт, наданню послуг, що забезпечують технічний захист інформації. Положення про порядок опрацювання, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації. Розроблено згідно з Постановою КМУ від 26.06.96р. №667. Затверджено наказом ДСТЗІ від 01.07.96р. №44, зареєстрованого в Мінюсті України 18.07.96р. №366\1391. Положення визначає порядок розроблення, погодження, затвердження, реєстрацію та виконання нових, перегляду та скасування чинних міжвідомчих нормативних документів технічного характеру (норми, методики, положення, інструкції тощо) системи технічного захисту інформації, що не належать до нормативних документів із стандартизації, але з обов’язковим для виконання всіма центральними і місцевими органами виконавчої влади, Урядом Автономної Республіки Крим, органами місцевого самоврядування, військовими частинами всіх військових формувань, створених відповідно до законодавства, підприємствами, установами й організаціями незалежно від форм власності, діяльність яких пов’язана з технічним захистом інформації. ДСТУ 3396 0-96. Захист інформації. Технічний захист інформації. Основні положення. Затверджено наказом Держстандарту України від 11.10.96р. №423 введено в дію 01.0197р. Стандарт визначає об’єкт захисту та мету ТЗІ, чотири основні етапи побудови системи ТЗІ та склад основних нормативних документів, що забезпечують функціонування системи ТЗІ. Вимоги вказаного стандарту обов’язкові для підприємств, організацій та установ всіх форм власності, які володіють, користуються або розпоряджаються інформацією, що підлягає технічному захисту. ДСТУ 1.3-93. Порядок розроблення, побудови, оформлення, узгодження, затвердження, позначення та реєстрації технічних умов. Затверджено та введено в дію наказом Держстандарту України від 29.07.93 р. №116. Стандарт встановлює порядок розроблення, побудови, викладу, оформлення, узгодження, затвердження, позначання та державної реєстрації технічних умов на продукцію (послуги), що виготовляються у всіх галузях народного господарства України, крім розроблюваної та виготовленої на замовлення Міністерства оброни, а також змін до них. Вимоги цього стандарту є обов’язковими для підприємств, установ і організацій, що діють на території України, а також для громадян-суб’єктів підприємницької діяльності незалежно від форм власності і видів діяльності. ДБН А.2.2-2-96. Проектування. Технічний захист інформації. Загальні вимоги до організації проектування та документації для будівництва. Наказом Держкоммістобудування України від 02.09.96 р. №156 введено в дію 01.01.97р. Стандарт встановлює норми та вимоги до організації проектування, проектної документації для нового будівництва, розширення, реконструкції підприємств та капітального ремонту будівель та споруд об’єктів, де є необхідність проведення робіт з ТЗІ. Заходи з ТЗІ можуть виконуватися організаціями, які мають відповідні ліцензії Держкоммістбудування України або іншими організаціями, які мають ліцензії Держкомсекретів України відповідно до Завдання замовника. Положення норм обов’язкові для застосування суб’єктами інвестиційної діяльності України та представництвами України за кордоном при виконанні проектних та будівельних робіт з урахуванням вимог технічного захисту інформації, які містять відомості, що становлять державну або іншу передбачену законодавством України таємницю, а також конфіденційну інформацію, що є державною власністю. Норми можуть бути використані суб’єктами, пофесійна діяльність яких пов’язана з захистом конфіденційної інформації, що не є власністю держави. КНД 50-009-93. Типова побудова технічних умов. Методичні вказівки. Затверджено та введено в дію наказом Держстандарту України від 29.07.93р. №116. Керівний нормативний документ з стандартизації поширюється на методи та зміст робіт з розроблення технічних умов, правила викладу їхніх розділів. Положення цього керівного нормативного документу можуть використовуватись підприємствами, установами і організаціями, що діють на території України, а також громадянами-суб’єктами підприємницької діяльності незалежно від форм власності і видів діяльності. Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок. (ТР ЕОТ-95). Нормативний документ системи ТЗІ, затверджено наказом ДСТЗІ від 09.06.95р. №25. Тимчасові рекомендації з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань і наводок. (ТР ТЗІ-ПЕМВН-95). Нормативний документ системи ТЗІ, затверджено наказом ДСТЗІ від 09.06.95р. №25. Тимчасові рекомендації щодо розроблення розділу із захисту інформації в технічному завданні на створення автоматизованої системи. (ТРАС-96). Нормативний документ системи ТЗІ, затверджено наказом ДСТЗІ від 03.07.96р. №47. Правила побудови, викладення, оформлення та позначення нормативних документів системи ТЗІ.НД ТЗІ 1.6-001-96. Нормативний документ системи ТЗІ затверджено наказом ДСТЗІ від 26.07.966р. №51. Інструкція про порядок надання дозволу на використання імпортних засобів ТЗІ, а також продукції, яка містить їх у своєму складі. Нормативний документ системи ТЗІ затверджено наказом ДСТЗІ від 31.05.95р. №13 і зареєстровано в Мінюсті України 12.07.95р. №215\751. На цей час більшу частину нормативно-технічних документів (НТД) ТЗІ в Україні складають НТД Держтехкомісії (ДТК) колишнього СРСР, які рекомендовані до використання керівним листом ДСТЗІ від 01.03.94р. на основі Постанови Верховної Ради України №1545-12 від 12.09.91р. “Про порядок тимчасової дії на території України окремих актів законодавства Союзу РСР”. До загальнодержавних нормативним актам з питань захистуінформації треба додати відомчі накази та інструкції МВС України. Наказ №07 від 06.03.97р. Наказ про оголошення “Розгорнутого переліку відомостей, що становлять державну таємницю в системі МВС України”. Відповідно до ст.10 Закону України від 21 січня 1994р. “Про державну таємницю”, визначає розгорнутий перелік відомостей, що становлять державну таємницю у системі МВС України: - відомості про охорону військових, особливо важливих, режимних об’єктів, технічний захист інформації, забезпечення пожежної охорони, зв’язку; - відомості оперативно-службового характеру. Наказ №08 від 06.03.97р. Наказ “Про заходи щодо забезпечення режиму секретності у системі МВС України та затвердження Тимчасової інструкції”. Наказ вимагає забезпечення режиму секретності у системі МВС України відповідно до законів України, постанов Уряду та інших чинних нормативних документів з питань захисту секретів та Тимчасової інструкції. Ця інструкція розроблена відповідно до вимог законів України “Про державну таємницю”, “Про інформацію”, “Про порядок виїзду з України і в’їзду в Україну громадян України”, “Про захист інформації в автоматизованих системах”, затверджених Кабінетом Міністрів України положень “Про державного експерта з питань таємниць”, “Про порядок і умови надання органам державної виконавчої влади, підприємствам, установам і організаціям дозволу (ліцензії) на здійснення діяльності, пов’язаної з державною таємницею, та про особливий режим цієї діяльності”, “Про технічний захист інформації в Україні”, “Про режимно-секретні органи в міністерствах, відомствах, Уряді Автономної Республіки Крим, місцевих органах виконавчої влади, виконкомах Рад, на підприємствах, в установах і організаціях”, “Про Держкомітет України з питань державних секретів та технічного захисту інформації”, інших чинних нормативних актів з питань захисту державних секретів. Вона визначає режим секретності, є основним керівним документом, обов’язковим для виконання в МВС України, головних управліннях МВС України в Криму, в місті Києві та Севастополі, управліннях МВС України в областях і на транспорті, міських, районних та лінійних управліннях, міськрайлінорганах, установах виконання покарань, навчальних закладах, науково-дослідних установах, інших підрозділах системи МВС України, діяльність яких пов’язана з державною таємницею. Наказ №059 від 14.07.98р. Цей наказ вводить “Положення про встановлення, обслуговування технічних засобів зв’язку, слабкострумового обладнання та засобів технічного захисту інформації з обмеженим доступом у виділених приміщеннях центрального апарату МВС України”. Це Положення визначає єдиний порядок виконання робіт з обстеження, планування, монтажу, регламентованого технічного обслуговування та ремонту технічних засобів зв’язку, слабкострумового обладнання та засобів технічного захисту інформації з обмеженим доступом у виділених атестованих приміщеннях центрального апарату МВС України. Саме цими усіма нормами забезпечується легітимність введення статті 198' кримінального кодексу (далі – КК), якою здійснюється кримінально-правова охорона зазначеного кола суспільних відносин. Стаття 198' КК передбачає відповідальність за дві самостійні форми злочинних дій: 1) умисне втручання у роботу автоматизованих систем, що призвело до перекручення чи знищення інформації або носіїв інформації; 2) розповсюдження програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи і здатних спричинити перекручення або знищення інформації чи то носіїв інформації. Предметом цих злочинів є: 1) автоматизовані системи (АС) — системи, що здійснюють автоматизовану обробку даних і до складу яких входять технічні засоби їх обробки (засоби обчислювальної техніки і зв'язку), а також методи і процедури, програмне забезпечення (ст. І Закону від 5 липня 1994 р. "Про захист інформації в автоматизованих системах"); 2) носії інформації — фізичні об'єкти, поля і сигнали, хімічні середовища, накопичувачі даних в інформаційних системах (ст. 24 Положення про технічний захист інформації в Україні, затвердженого постановою Кабінету Міністрів України від 9 вересня 1994 р. ); 3) інформація, яка використовується в АС, — сукупність усіх даних і програм, які використовуються в АС незалежно від способу їх фізичного та логічного представлення (ст. 1 Закону від 5 липня 1994 р.); 4) програмні і технічні засоби, призначені для незаконного проникнення в автоматизовані системи. Об'єктивна сторона злочинів характеризується двома видами дій: 1) втручанням в роботу АС; 2) розповсюдженням програмних і технічних засобів, призначених для незаконного проникнення в АС і здатних спричинити перекручення або знищення інформації чи носіїв інформації. Втручання у роботу автоматизованих систем є матеріальним складом злочину, оскільки, крім різноманітних дій у вигляді різного впливу на роботу автоматизованої системи, обов'язковими ознаками його об'єктивної сторони є також наслідки у вигляді перекручення чи знищення інформації, тобто порушення її цілісності (руйнування, спотворення, модифікація і знищення) (абз. 2 п. 2 Положення про технічний захист інформації в Україні); і причинний зв'язок між вчиненими діями і наслідками. Відсутність наслідків у вигляді перекручення або знищення інформації чи носіїв інформації при втручанні у роботу АС, залежно від мети такого втручання, може кваліфікуватися: 1) як замах на вчинення злочину, передбаченого ст. 198', якщо метою втручання було спотворити або знищити інформацію, її носії; 2) за статтями 56, 57, 148 КК (при наявності ознак цих злочинів), якщо метою втручання в роботу АС було незаконне ознайомлення з інформацією, яка в ній обробляється чи зберігається; 3) за іншими статтями КК, які передбачають відповідальність за злочини, спосіб вчинення яких може виражатись в незаконному втручанні в роботу АС, наприклад, як розкрадання майна, виготовлення з метою збуту чи використання підроблених недержавних цінних паперів (ч. З чи ч. 4 ст. 148 КК). Розповсюдження програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи і здатних спричинити перекручення або знищення інформації чи носіїв інформації, відноситься до формальних складів злочинів, оскільки об'єктивна сторона цього злочину виражається в самих діях, незалежно від того, спричинили вони чи ні наслідки у вигляді перекручення або знищення інформації чи носіїв інформації. Під втручанням у роботу АС законодавець пропонує розуміти будь-які дії винного, що впливають на обробку АС інформації, яка в ній зберігається, або яка вводиться чи передається для обробки в АС, тобто дії, що впливають на всю сукупність операцій (зберігання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація), що здійснюються за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних. При втручанні в роботу АС здійснюється порушення її роботи, яке спричиняє спотворення процесу обробки інформації, внаслідок чого перекручується або знищується сама інформація чи її носії. Знищення інформації — це її втрата, коли інформація в АС перестає існувати для фізичних і юридичних осіб, які мають право власності на неї в повному чи обмеженому обсязі. Як знищення, втрату інформації треба розглядати і її блокування, тобто припинення доступу до інформації користувачам АС. Втручання в роботу АС може бути і в формі впливу на канали передачі інформації як між технічними засобами їх обробки і зберігання всередині АС, так і між окремими АС, внаслідок чого інформація, що передається для обробки, знищується чи перекручується. Такі дії можуть виражатись, наприклад, в електромагнітному, лазерному і іншому впливі на носії інформації, в яких вона матеріалізується, або по яких вона передається; в формуванні сигналів полів засобів і блоків програм, вплив яких на інформацію, її носії і засоби технічного захисту викликає порушення цілісності інформації, її знищення чи спотворення; у включенні до бібліотек програм спеціальних програмних блоків, зміни програмного забезпечення і інших подібних діях, що призводять до порушення цілісності інформації. Перекручення інформації — це зміна її змісту, порушення її цілісності, в тому числі і часткове знищення. Під розповсюдженням програмних і технічних засобів, призначених для незаконного проникнення в АС і здатних спричинити перекручення або знищення інформації чи носіїв інформації треба розуміти: 1) їх передачу будь-яким способом і на будь-яких підставах (продаж, дарування, обмін, надання можливості скопіювати тощо) з метою їх використання для несанкціонованого доступу до інформації особами, які згідно з правилами розмежування доступу до інформації, встановленими власником інформації чи уповноваженою ним особою, не мають права доступу до такої інформації; 2) їх "закладку" в АС на стадії її виготовлення, ремонту, реалізації, користування з метою використання в майбутньому для здійснення несанкціонованого доступу до інформації; 3) ознайомлення інших осіб із змістом програмних засобів чи технічними характеристиками або технологією виготовлення та використання технічних засобів для незаконного проникнення в АС. Програмні засоби, призначені для незаконного проникнення в АС, — це спеціальні комп'ютерні програми (програмні блоки, програмне забезпечення), з допомогою яких можна здійснити несанкціонований доступ до інформації, яка зберігається чи обробляється в АС, і які здатні спотворити або знищити інформацію (її носії) шляхом спотворення процесу обробки інформації. Технічні засоби, призначені для незаконного проникнення в АС, — це різного роду прилади, обладнання, устаткування тощо, з допомогою яких можливе або безпосереднє під"єднання до АС чи каналів передачі даних, або які здатні шляхом формування сигналів, полів, середовищ створити умови для несанкціонованого доступу до інформації з метою ознайомлення з такою інформацією особами, які не мають права доступу до неї, або з метою впливу на процес обробки інформації в АС, порушення роботи АС, перекручення або знищення інформації чи її носіїв. Обов'язковою ознакою (властивістю) програмних і технічних засобів, призначених для незаконного проникнення в АС, для визнання їх предметом коментованого злочину, є їх здатність впливати на процес обробки інформації, його спотворення, в результаті чого інформація (її носії) може бути знищена чи перекручена. Якщо ж такі засоби за своїми технічними характеристиками не мають такої властивості, їх розповсюдження складу злочину, передбаченого ст. 198' не утворює. Використання таких програмних і технічних засобів, наприклад, для незаконного ознайомлення з інформацією, яка обробляється чи зберігається в АС, може кваліфікуватися за статтями 56, 57 чи 148. Суб'єктом злочину може бути будь-яка фізична осудна особа, що досягла 16-річного віку. Ним можуть бути і особи з персоналу АС — фізичні особи, яких власник АС чи уповноважена ним особа чи розпорядник АС визначили для здійснення функцій управління та обслуговування АС, і сторонні особи. Суб'єктивна сторона злочинів, передбачених ч. І ст. 198', характеризується умислом щодо вчинюваних винним дій, а психічне відношення винного до наслідків у вигляді перекручення чи знищення інформації або її носіїв може характеризуватись як прямим чи непрямим умислом, так і необережністю в обох видах. При розповсюдженні програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи, умисел лише прямий, оскільки суб'єктивну сторону цього злочину визначає психічне відношення винного до вчинюваних ним дій. Мотиви і мета вчинення злочинів можуть бути різними і свідчити про те, що робота автоматизованої системи порушена, наприклад, з метою вчинення інших злочинів. В ч. 2 ст. 198' передбачена відповідальність за два кваліфікованих склади злочинів: 2) вчинення злочину повторно; 3) вчинення злочину за попереднім зговором групою осіб. Проведений аналіз стану чинного українського законодавства з питань правового регулювання відносин, пов’язаних з використанням ЕОТ, взагалі та засобів кримінально-правової охорони зокрема з усією наочністю викриває його недосконалість та невисокий рівень розробленості. Вражає, насамперед, надзвичайно вузьке коло діянь, що визначаються суспільно небезпечними, отже є кримінально карними, недостатньо точне та повне визначення термінів, використаних при формулюванні диспозиції. Також, незрозумілою лишається ідея законодавця об’єднати однією статтею такі різні за рівнем суспільної небезпечності дії, як “умисне втручання в роботу автоматизованих систем” та “розповсюдження програмних і технічних засобів, призначених для незаконного проникнення до автоматизованих систем”, а також, встановлення для такого специфічного виду злочинних дій ортодоксальних кваліфікуючих ознак. Все це переконливо вказує на термінову необхідність реформування даного розділу кримінального законодавства. Огорожа та контрольно пропускний пункт – матеріальний об’єкт, що застосовується для утруднення проникнення на територію підприємства. Контрольно пропускний пункт – забезпечує санкціонований доступ на територію. Може бути стаціонарною або монтованою. Складається з секцій різного типу, висотою не менше 2м. Може бути джерелом витоку інформації. 2.2 категоріювання об’єктів захисту за ступенем важливості. Персонал; Об’єкти ОТЗ; Об’єкти ДТЗС; Об’єкти ТЗПІ (неосновні); Приміщення лабораторії. Внутрішній двір. Зовнішній двір та елементи, що розташовані на ньому. Огорожа та КПП. 3.Визначення та аналіз загроз об’єктам захисту. Побудова моделі загроз Побудова моделі порушника. Відмови персоналу. Помилки персоналу. Злочинні дії персоналу. Побудова матриць загроз ЗОВНІШНЯ СИСТЕМА ПІДПРИЄМСТВА Трансформаторна підстанція КПП. Каналізаційний люк т люк водопостачання Автомайданчик Внутрішня система підприємства. Кімната 1 Кімната 2. - Кімната 3-4. - Кімната 5 Кімната 6-7 Кімната 8 Висновок: з останньої таблиці видно, що найбільшу небезпеку даному підприємству ( лабораторії розроблення та програмування логічних матриць) найбільшу загрозу, що має відношення до проблеми захисту інформації становлять працівники служби безпеки, системний адміністратор та працівники лабораторії. Тому організацію роботи цих персон в даному закладі повинна бути найбільш контрольованою. 4.Розроблення системи захисту об’єктів. Розроблення даної системи розпочнемо з аналізу розташування об’єктів АС на території підохоронного підприємства та побудови відповідних зон безпеки. Зона А: Шосе; Навколишні об’єкти і будови навколо під охоронного об’єкта. Зона Б: Огорожа КПП. Зона В: Система водопостачання; Система каналізації; Стоянка автомобілів працівників; Трансформаторна підстанція; Зона Г: Коридор що веде в внутрішній двір. Зона Д: Внутрішній двір. Приміщення з номерами 5-8. Зона Е: Приміщення з номерами 1-4. Зона А. Шосе(в межах об’єкта) потрібно захистити за такими правилами та діями: унеможливлення можливого застосування навколишньої території від можливості застосування електромагнітних негативних для підприємства гармат, від можливого зчитування інформації з пристроїв, що випромінюють електромагнітні хвилі. виникнення аварійних ситуацій. прихованих протиправних дій з боку відвідувачів. Територія шосе повинна проглядатися з КПП. Зона Б КПП потрібно захистити за такими правилами та діями: Поставити працівника служби безпеки, щоб забезпечити контрольований доступ на територію та забезпечення контролю за особами та машинами, що входять ( в’їжають ) або виводять(виїжають) на або з території. Поставити пристрій візуального спостереження. Оснастити КПП функцією швидкого виклику правоохоронних органів. Ведення журналу обліку. Огорожа повинна бути непрозорою для візуального спостереження. Висота огорожі повинна бути не менше 2 метрів. Внутрішня сторона огорожі повинна бути оснащена пристроями візуального спостереження, таким чином, щоб в зону спостереження одного пристрою входив наступний пристрій, таким чином, щоб система утворювала коло. Зона В Систему водопостачання і каналізації потрібно захистити за такими правилами та діями: Унеможливити доступ до каналізаційних люків особам, які не мають до цього прямого відношення. Стоянку автомобілів працівників потрібно захистити від: Контроль візуальним спостереженням. Трансформаторну підстанцію потрібно захистити від: Унеможливити доступ до трансформаторної підстанції особам, які не мають до цього прямого відношення. Зона Г. Коридор, що веде у внутрішній двір потрібно захищати за такими правилами та діями: поставити охоронну систему, щоб контролювала доступ на територію. Поставити якісні захисні споруди. Поставити системи, що контролюють несанкціоноване втручання в будівлю лабораторії та протипожежні системи захисту. Зона Д Приміщення з номерами 5-8 потрібно захищати за такими правилами та діями: Обмеження доступу посторонніх осіб. Створення системи виявлення та повідомлення про несанкціонований доступ на територію будівлі. Створення системи пожежного оповіщення. Зона Е. Кімнати з номерами 1-4 потрібно захищати за такими принципами та діями: - поставити вхідні двері в ці об’єкти, щоб вони ізолювали акустичні та електромагнітні канали доступу до інформації. Двері повинні бути оснащені кодовим та стандартним ключовим замком (як мінімальний спосіб захисту від несанкціонованого проникнення) Вікна повинні забезпечити унеможливлення візуального, акустичного та електромагнітного каналу доступу до інформації. На них повинні бути поставлені генератори шумів, для унеможливлення лазерного зняття даних з останніх. Стіни та стеля повинні бути оснащені електромагнітним щитом (металічним прошарком).

Розрахунково - графічна робота Інші

01.01.1970 03:01-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись