Міністерство освіти і науки України
Національний університет „Львівська політехніка”
ІКТА
кафедра ЗІ
РОЗРАХУНКОВА РОБОТА
З ДИСЦИПЛІНИ: ”ОРГАНІЗАЦІЙНО-ТЕХНІЧНІ ЗАСОБИ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ ”
НА ТЕМУ: ״ РОЗРОБЛЕННЯ КОМПЛЕКСНОЇ СИСТЕМИ БЕЗПЕКИ ПІДПРИЄМСТВА ״
Львів – 2007
Розрахунково-графічна робота на тему “Розроблення комплексної системи безпеки приміщення”.
Завдання.
Розробити проект комплексної системи безпеки наукового центру по дослідженню напівпровідникових матеріалів, в якому циркулює ІзОД. Приміщення, специфіка у використанні цього приміщення персоналом, перелік основних та допоміжних технічних засобів обробки, передавання та приймання інформації наведені у таблиці (варіант №5, план №3).
№ п/п
Назва об’єкту (виділеного приміщення)
Перелік ОТЗ, які знаходяться в приміщенні
Перелік ТЗПІ, які не є основними
Перелік ДТЗС
Інформація, яка підлягає захисту
5
Науковий центр по дослідженню напівпровідникових матеріалів
П’ять персональних комп’ютерів з’єднаних в локальну мережу з комп’ютером виділеним під сервер (є вихід в Інтернет), спеціальні вимірювальні прилади, комплекс для дослідження матеріалів, сигнальні лінії мережі Ethernet, принтер
Переговорний пристрій, проводовий телефон та радіотелефон, вимірювальні прилади, сканер, ксерокс, система супутникового телебачення (НВЧ-конвертор, параболічна антенна, ВЧ-кабель, тюнер)
Кабелі телефонного зв’язку, лінії мережі електроживлення, три лампи денного світла, кондиціонер, сторонні не задіяні дроти
Інформація стосовно досліджень, які проводяться в центрі, частина з якої є інформацією для службового користування та державною таємницею
Мета роботи: ознайомитися з основними методами та засобами побудови комплексної системи безпеки об’єкту, навчитися проектувати дану систему згідно встановлених вимог.
Головним завданням даного наукового центру: підтримувати і координувати наукову роботу, а також діяльність досліджень з напівпровідникових матеріалів.
І. Визначення та перелік об’єктів, які підлягають захисту.
А.
№ п\п
Найменування
Кількість
Ціна в у.о.
Основні технічні засоби прийому, обробки, збере еня та передачі інформації
1.
Персональний комп’ютер
5
3500
2.
Cпеціальні вимірювальні прилади
-
400
3.
Kомплекс для дослідження матеріалів
-
600
4.
Сигнальні лінії мережі Ethernet та мережеве обладнання
-
200
5.
Принтер
1
120
ТЗПІ, які не є основними
1.
Переговорний пристрій
1
300
2.
Проводовий телефон
1
40
3.
Радіотелефон
1
100
4.
Вимірювальні прилади
-
150
5.
Ксерокс
1
300
6.
Сканер
1
100
7.
Система супутникового телебачення (НВЧ-конвертор, параболічна антенна, ВЧ-кабель, тюнер)
-
200
Додаткові технічні засоби
1.
Кабелі телефонного зв’язку
-
50
2.
Лінії мережі електроживленя
-
350
3.
Лампа денного світла
3
60
4.
Сторонні не задіяні дроти
-
50
5.
Кондиціонер
1
300
Загальна вартість обладнання складає 6820 у.о.
Б. Зовнішні об’єкти:
Вікна;
Двері;
Каналізаційний Люк;
Люк Водопостачання;
Трансформаторний Підсилювач;
Автостоянки;
Огорожа;
В. Персонал і їх функції:
Електрик:
підтримувати лінії електромережі в робочому стані;
періодично перевіряти трансформаторну підстанцію на справність;
підтримувати освітлення об’єкту;
знімати покази лічильника ;
Сантехнік:
підтримувати водопостачання і опалення на території центру;
Служба Безпеки:
формування вимог до СЗ у процесі створення АС;
участь у проектуванні СЗ, її випробуваннях і прийманні в експлуатацію;
планування, організація і забезпечення функціонування СЗІ в процесі функціонування АС;
розподіл між користувачами необхідних реквізитів захисту;
спостереження за функціонуванням СЗ і її елементів;
організація перевірок надійності функціонування СЗ;
навчання користувачів і персоналу АС правилам безпечної обробки інформації;
контроль за дотриманням користувачами і персоналом АС встановлених правил поводження з інформацією, яка захищається, в процесі її автоматизованої обробки;
вживання заходів при спробах НСД до інформації і при порушеннях правил функціонування системи захисту.
Адміністратор ЛОМ:
забезпечувати захист інформації, внесеної до КС;
забезпечувати технічне супроводження КС;
створювати спеціалізоване програмне забезпечення;
вести облік, обробку, накопичення та зберігання інформації,
як в електронному вигляді так і на паперових носіях;
Молодший персонал з дослідження напівпровідникових матеріалів:
проводити дослідження;
доставляти матеріали в «Лабораторію» для досліджень;
переносити привезені матеріали з двору на «Склад»;
Старший персонал з дослідження напівпровідникових матеріалів:
проводити дослідження;
керувати роботою молодшого персоналу;
організувати засідання, конференції;
заносити дані з досліджень в ПК;
Секретар:
телефонне обслуговування;
підготовувати відрядження;
організовувати спеціальні прийоми гостей;
контроль за святковими і ювілейними датами;
машинописні роботи;
збір ділової інформації і її реферування по завданню директора;
збір матеріалів для доповідей і мов директора;
Директор:
слідкувати за роботою центру;
проводити різного роду засідання і конференції;
слідкувати за фінансовою діяльністю центру;
стимулювати научну діяльність працівників;
Прибиральниця:
підтримувати чистоту і порядок закріпленої території центру.
ІІ. Опис об’єкту захисту.
ІІ.І. Опис прилеглої території.
Назва об’єкту захисту – науковий центр по дослідженню напівпровідникових матеріалів;
Загальна площа прилеглої території – 55,5м*58,5м=3246,75м2
Дана територія є огороженою, і в’їзд на неї здійснюється через ворота, які знаходяться біля КПП.
При в’їзді на територію:
зправа знаходиться автостоянка відвідувачів.
З сторони воріт території:
зліва знаходиться каналізаційний колодязь;
зправа автостоянка працівників і трансформаторна підстанція;
по центру території розташоване головне приміщення, в якому здійснюються всі роботи, що стосуються завданням наукового центру.;
За головним приміщенням зправа знаходиться колодязь водопостачання.
ІІ.ІІ. Опис приміщення.
Загальна площа приміщення – 51м*30м=1530м2
Кількість кімнат в приміщенні – 9;
Кількість вікон в приміщенні – 12;
«Конферент зал». Розміщена саме тут, оскільки в цій кімнаті будуть проводитись різного роду засідання і конференції, де можуть бути присутні сторонні особи, тому вона повинна бути якомога блище до виходу.
«Директор». Розміщена саме тут, оскільки, якщо директору потрібно буде провести засідання і він розуміє, що його кабінет не в змозі розсадити персонал і відвідувачів і в залежності від того, про яку інформацію буде йти діло, то єдиним виходом для нього буде попросити їх пройти до конферент залу, таким чином зменшити розгулювання по приміщенню.
«Секретар». Розміщена саме тут, оскільки:
інформація, яка буде оброблятися в даній кімнаті є службового користування;
функціональні обов’язки особи, що працює навпроти є взаємопов’язані.
- «Склад» і «Лабораторія» відповідно. Розміщенні в центрі приміщення, оскільки:
інформація, яка буде оброблятися в них є секретною;
роботи, які будуть проводитись в них є взаємопов’язані;
«Туалет». Розміщена саме тут, оскільки:
Вона не потребує ретельного захисту;
Порівняно з іншими кімнатами на плані є найбільш не захищеною кімнатою;
«Електрична». Розміщена саме тут, оскільки:
інформація, яка буде оброблятися в даній кімнаті є службового користування.
має найбільш вигідне місце для установок, що розміщенні в даній кімнаті.
«Серверна». Розміщена в центрі приміщення, оскільки:
інформація, яка буде оброблятися в ній є секретною;
окрім, адміністратора ЛОМ, в ній буде знаходитись персонал СБ, який швидко зможе реагувати на загрози фізичного проникнення в інші кімнати приміщення.
«Коридор».
ІІ.ІІІ. Опис ОТЗ, ТЗПІ та ДТЗС.
Назва кімнати
ОТЗ, ТЗПІ та ДТЗС, які розміщенні в даній кімнаті
Обґрунтування розташування ОТЗ, ТЗПІ та ДТЗС у даній кімнаті
- Конферент зал
-
В даній кімнаті,не розміщено ні одного технічного засобу, тому що:
вони не будуть використовуватись при проведенні різного роду засідань і конференцій;
крім службового персоналу на засіданні чи конференції можуть бути присутні сторонні особи, що можуть реалізувати, деякі канали витоку інформації з цих технічних засобів:
електромагнітний;
електроакустичний;
електричний.
- Директор
Персональний комп’ютер
Даний технічний засіб дозволяє інформувати директора про ситуацію на «центрі». Таке розміщення технічного засобу дозволяє захиститись від:
перегляду сторонніми особами зображення на моніторі;
спостереження сторонніми особами за роботою з клавіатурою;
Проводовий телефон
Оскільки для приміщення дано лише по-одному технічному засобу, я вважаю, що в першу чергу вони будуть важливими для цієї кімнати
Дане розташування є:
економічніше;
важчим реалізувати такі канали витоку інформації:
електроакустичний.
Переговорний пристрій
Лінії мережі електроживлення
Дане розташування є:
економічніше;
важчим реалізувати такі канали витоку інформації:
електричний;
електроакустичний.
Кабелі телефонного зв’язку
Кабелі LAN
- Секретар
Ксерокс
Даний технічний засіб є найбільш важливим для цієї кімнати, оскільки:
за ним є одна відповідальна особа;
будь-який працівник «центру» зможе оперативно здійснити ксерокс.
Таке розміщення технічного засобу дозволяє захиститись від:
спостереження сторонніми особами за роботою з апаратом;
Дане розташування є:
важчим реалізувати такі канали витоку інформації:
електромагнітний;
Лінії мережі електроживлення
Дане розташування є:
економічніше;
важчим реалізувати такі канали витоку інформації:
електричний;
електроакустичний.
Радіотелефон
Даний технічний засіб, розміщено в цій кімнаті, оскільки, інформація, яка буде передаватися даним технічним засобом є – службового користування і не вище.
- Склад
Персональний комп’ютер
Даний технічний засіб дозволяє вести СУБД напівпровідникових матеріалів.Таке розміщення технічного засобу дозволяє захиститись від:
перегляду сторонніми особами зображення на моніторі;
спостереження сторонніми особами за роботою з клавіатурою;
Лінії мережі електроживлення
Дане розташування є:
економічніше;
важчим реалізувати такі канали витоку інформації:
електричний;
електроакустичний.
Кабелі LAN
- Лабораторія
3 персональні комп’ютери
Дані технічні засоби дозволяють опрацьовувати результати, а також вести аналіз досліджень.
перегляду сторонніми особами зображення на моніторі;
спостереження сторонніми особами за роботою з клавіатурою;
Принтер
Я вважаю, що в першу чергу вони будуть важливими для лабораторії у:
здійсненні досліджень;
аналізі досліджень і т.д.;
Таке розміщення технічних засобів дозволяє захиститись від:
спостереження сторонніми особами за роботою з апаратурою;
Дане розташування є:
важчим реалізувати такі канали витоку інформації:
електромагнітний;
Сканер
Комплекс для дослідження матеріалів, спеціальні вимірювальні прилади, вимірювальні прилади.
Лінії мережі електроживлення
Дане розташування є:
економічніше;
важчим реалізувати такі канали витоку інформації:
електричний;
електроакустичний.
Кабелі LAN
Кондиціонер
Даний прилад буде важливим «Лабораторії» для:
підтримання фізичносприятливих умов для роботи персоналу;
3 лампи денного світла
Я вважаю, що в першу чергу вони будуть важливими для:
проведення досліджень;
- Туалет
Лінії мережі електроживлення
Дане розташування є:
економічніше;
важчим реалізувати такі канали витоку інформації:
електричний;
електроакустичний.
- Електрична
Лінії мережі електроживлення
Дане розташування є:
економічніше;
вигідне.
важчим реалізувати такі канали витоку інформації:
електричний;
електроакустичний.
- Серверна
Персональний комп’ютер виділений під сервер
Даний технічний засіб керує всією LAN на «центрі». Таке розміщення технічного засобу дозволяє захиститись від:
перегляду сторонніми особами зображення на моніторі;
спостереження сторонніми особами за роботою з клавіатурою;
несанкціонованого доступу до оперативної пам’яті та накопичувачів комп’ютера.
Система супутникового телебачення
Призначена для виходу в Інтернет, яка підключена до сервера.
Дане розташування є:
економічніше;
важчим реалізувати такі канали витоку інформації:
електроакустичний.
Лінії мережі електроживлення
Дане розташування є:
економічніше;
важчим реалізувати такі канали витоку інформації:
електричний;
електроакустичний.
Кабелі LAN
- Коридор
Лінії мережі електроживлення
Дане розташування є:
економічніше;
важчим реалізувати такі канали витоку інформації:
електричний;
Кабелі LAN
Умовні позначення:
персональний комп’ютер
- персональний комп’ютер виділений під сервер;
- ксерокс;
радіотелефон;
лампа денного світла;
- принтер;
- проводовий телефон;
- переговорний пристрій;
комплекс для дослідження матеріалів, спеціальні вимірювальні прилади, вимірювальні прилади.
система супутникового телебачення;
кондиціонер;
- сканер;
телефонні розетки;
мережева розетка;
електрична розетка;
вмикач (вимикач);
кабелі мережі Ethernet, які простягаються в коробах;
кабелі мережі Ethernet, які простягаються назовні в приміщенні;
кабелі мережі Ethernet, які простягаються під підлогою;
кабелі переговорного зв’язку, які простягаються назовні в приміщенні;
кабелі переговорного зв’язку, які простягаються під землею;
кабелі мережі електроживлення, які простягаються в стінах приміщення;
кабелі мережі електроживлення, які простягаються назовні в приміщенні;
кабелі телефонного зв’язку, які простягаються назовні в приміщенні;
кабелі телефонного зв’язку, які простягаються під землею;
ВЧ- кабель супутникового телебачення, який простягаються в коробі;
ВЧ- кабель супутникового телебачення, який простягаються назовні в приміщенні;
електричний щиток;
мережевий фільтр;
дизель –агрегат;
ІІІ.І. Аналіз загроз інформаційній безпеці, які можуть бути реалізовані, як на території, так і в приміщенні об’єкту.
Зовнішні об’єкти, що підлягають захисту
Можливі канали витоку інформації
Можливий витік інформації за рахунок:
Вікна
Оптико-електронний;
Візуальний;
Фізичне проникнення;
відбиваючих властивостей поверхні скла (підданость лазерному прослуховуванню);
перегляду приміщення сторонніми особами;
фізичного проникнення через них зловмисникa;
Основне приміщення (стіни, перекриття)
Фізичне проникнення;
Електромагнітний;
Віброакустичний;
фізичного проникнення через них зловмисника;
розповсюдження електромагнітних сигналів уздовж залізобетонних конструкцій;
розповсюдження акустичних хвиль у твердому матеріалі;
пошкодження;
впливу стихійних лих навколишнього середовища;
Каналізаційний колодязь;
Колодязь водопостачання
Віброакустичний;
Електромагнітний;
Фізичне проникнення.
утворення паразитних акустичних сигналів уздовж коробів, труб;
розповсюдження електромагнітних сигналів уздовж коробів, труб ;
фізичного проникнення через них зловмисника, сторонніх дій некваліфікованих осіб.
КПП
Фізичне проникнення.
фізичного проникнення через нього зловмисника.
Трансформа-
торний підсилювач
Фізичне проникнення;
фізичного проникнення до нього зловмисника
Нерівномірності споживання току пристроями, які приймають участь в обробці інформації .
Автостоянки
Візуальний.
перегляду приміщення сторонніми особами.
Огорожа
Фізичне проникнення;
Візуальний.
фізичного проникнення через неї зловмисника;
перегляду приміщення сторонніми особами;
Двері
Фізичне проникнення;
Акустичний;
таємного несанкціонованого фізичного проникнення через них зловмисника;
зламу;
підслуховування.
Система опалення, водопостачання і вентиляції
Акустичний;
Електромагнітний;
розповсюдження акустичних сигналів уздовж коробів, труб ;
розповсюдження електромагнітних сигналів уздовж коробів, труб ;
Система електроживлення
нерівномірності споживання току пристроями, які приймають участь в обробці інформації;
Система заземлення
нерівномірності токів, що протікають проводами та шинами
ІІІ.ІІ. Аналіз загроз інформаційній безпеці, які можуть бути реалізовані від ОТЗ, ТЗПІ та ДТЗС.
Визначення та перелік об’єктів які підлягають захисту
Можливий виток за рахунок:
Основні технічні засоби (ОТЗ)
Шість персональних комп’ютерів
випромінювання електромагнітних сигналів, які потім можуть перехоплюватись випадковими антенами;
перегляду сторонніми особами зображення на моніторі;
спостереження сторонніми особами за роботою з клавіатурою;
несанкціонованого доступу до оперативної пам’яті чи накопичувачів комп’ютера.
Локальна мережа з виходом у Internet
проникнення в неї вірусів і закладок;
перегляду; сторонніми особами зображення на моніторі;
спостереження сторонніми особами за роботою з клавіатурою;
несанкціонованого доступу до оперативної пам’яті чи накопичувачів комп’ютера.
Спеціальні вимірювальні прилади
випромінювання електромагнітних сигналів, які потім могуть перехоплюватись випадковими антенами;
дії на них сторонніх осіб.
автогенерації та мікрофонного ефекту;
спостереження сторонніми особами за їх роботою;
Комплекс для дослідження матеріалів
Сигнальні лінії мережі Ethernet
наведення на технічні засоби, інші проводи та кабелі, які розміщені на відстанях, менш критичних.
Принтер
випромінювання електромагнітних сигналів;
спостереження сторонніми особами за їх роботою;
дії на них сторонніх осіб.
Технічні засоби прийому, обробки, збереженя і передачі інформації (ТЗПІ), які не є основними
Переговорний пристрій
випромінювання електромагнітних сигналів, які потім можуть перехоплюватись випадковими антеннами;
автогенерації та мікрофонного ефекту;
паразитної модуляції.
Проводовий телефон
Радіотелефон
перетворювання акустичних сигналів в електромагнітні з подальшим передаванням колами електроживлення;
стороннього впливу з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч.
Вимірювальні прилади
випромінювання електромагнітних сигналів, які потім могуть перехоплюватись випадковими антенами;
дії на них сторонніх осіб.
автогенерації та мікрофонного ефекту;
спостереження сторонніми особами за їх роботою;
Сканер
випромінювання електромагнітних сигналів;
спостереження сторонніми особами за їх роботою;
дії на них сторонніх осіб.
Ксерокс
Система супутникового телебачення (НВЧ-конвертор, параболічна антена, ВЧ-кабель, тюнер)
автогенерації та мікрофонного ефекту;
паразитної модуляції;
випромінювання електромагнітних сигналів, які потім можуть перехоплюватись
випадковими антенами.
Допоміжні технічні засоби і системи (ДТЗС)
Кабелі телефонного зв’язку
наведення на технічні засоби, інші проводи та кабелі, які розміщені на відстанях,
менш критичних;
безпосереднього гальванічного підключення;
наведення на проводи та кабелі, що мають спільну трасу проходження, на інші
ланцюги того ж самого кабелю.
Лінії мережі електроживлення
Сторонні не задіяні дроти
Три лампи денного світла
перетворювання акустичних сигналів в електромагнітні з подальшим передаванням колами електроживлення;
стороннього впливу з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч.
III.III. Аналіз загроз інформаційній безпеці, які можуть бути реалізовані від персоналу.
Тип та визначення загроз, які може реалізувати персонал:
Відмови (повний вихід з ладу, систематичне неправильне виконання своїх функцій) людей.
Випадкові помилки користувачів, обслуговуючого персоналу, помилкове конфігурування та адміністрування системи
Недбале зберігання та облік документів, носіїв інформації
Поломка апаратури.
Пошкодження носіїв інформації.
Ураження програмного забезпечення комп’ютерними вірусами.
Підключення до каналів зв’язку через штатні або спеціально розроблені апаратні засоби (в тому числі підключення через установлені модемні, факс-модемні плати).
Прослуховування телефонних розмов.
Переадресація (зміна маршруту) передачі даних.
Нав’язування хибної інформації під ім’ям авторизованого користувача
Читання “сміття” (залишкової інформації з запам’ятовуючих пристроїв).
Оглядання даних, що виводяться на екран.
Оглядання даних, що роздруковуються, читання залишених без догляду віддрукованих на принтері документів.
Відключення або вивід з ладу підсистем забезпечення функціонування обчислювальних систем (електроживлення, охолодження та вентиляції, ліній зв’язку тощо).
Фізичне зруйнування системи (внаслідок вибуху, підпалення и т.ін.), пошкодження всіх або окремих найбільш важливих компонентів АС (пристроїв, носіїв важливої системної інформації, осіб з числа персоналу і т.ін.), систем електроживлення тощо.
Використання закладних та дистанційних підслуховуючих пристроїв.
Провокування до розмов осіб, що мають відношення до АС.
Розкрадання магнітних носіїв та документів (оригінали і копії інформаційних матеріалів, ГМД, стриммерних стрічок), виробничих відходів (відбитків, записів, носіїв інформації т.ін.), отримання необлікованих копій.
Незаконне одержання паролів та інших реквізитів розмежування доступу (агентурним шляхом, внаслідок недбалості користувачів, підбором, імітацією інтерфейсу системи тощо) з наступним маскуванням під зареєстрованого користувача ("маскарад").
Несанкціоноване використання робочих станції та терміналів ЛОМ.
Несанкціоноване використання технічних пристроїв (модем, апаратний блок кодування, перефірійні пристрої).
Обхід механізмів захисту з метою забезпечити в подальшому псевдосанкціонований доступ порушника.
Перехоплення паролів програмою-імітатором, перехоплення повідомлень.
Включення в програми програмних закладок типу “троянський кінь”, “бомба” тощо.
Використання вад мов програмування, операційних систем (у тому числі параметрів системи захисту, встановлених “за умовчанням”).
Несанкціоновані зміни, підміна елементів програм, елементів баз даних, апаратури, магнітних носіїв.
Дії щодо дезорганізації функціонування системи (зміна режимів роботи пристроїв та програм, страйк, саботаж персоналу, постановка потужних активних завад на частотах роботи пристроїв системи й т.ін.)
Вербування персоналу або окремих користувачів, які мають певні повноваження
IV. Модель порушника.
Порушник - це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.
Для побудови даної моделі використаємо усі можливі категорії, ознаки та характеристики порушників для більш точного їх аналізу, причому рівень загрози кожної з них вказується в дужках і оцінюється за 4-бальною шкалою.
Визначення категорії
Мотив порушення
Рівень кваліфікації та обізнаності щодо АС .
Можливості використання засобів та методів подолання системи захисту.
Специфікація моделі порушника за часом дії
Специфікація моделі порушника за місцем дії
Сумарний рівень загрози
Внутрішні по відношенню до АС
Технічний персонал, який обслуговує будови та приміщення в яких розташовані компоненти АС (1)
М1-3 (3)
К1-5
(3)
З1-5
(4)
Ч2
(2)
Д3
(2)
15
Персонал, який обслуговує технічні засоби (інженери, техніки) (2)
М1-3 (3)
К1-5
(3)
З1-5
(4)
Ч1-4
(4)
Д4
(2)
18
Працівники(лаборанти) АС (2)
М1-3 (3)
К1-5
(3)
З1-5
(4)
Ч2-4
(4)
Д4-5
(3)
19
Співробітники підрозділів (підприємств) розробки та супроводження програмного забезпечення (3)
М1-3 (3)
К1-6
(4)
З1-4
(3)
Ч1-4
(4)
Д1-6
(4)
21
Адміністратори ЛОМ (3)
М1-3 (3)
К1-6
(4)
З1-4
(3)
Ч-4
(4)
Д3-5
(3)
20
Співробітники служби захисту інформації (4)
М1-3 (3)
К1-6
(4)
З1-5
(4)
Ч-4
(4)
Д4-6
(4)
23
Керівники різних рівнів посадової ієрархії (4)
М1-3 (3)
К1-6
(4)
З1-5
(4)
Ч-4
(4)
Д4-6
(4)
23
Зовнішні по відношенню до АС
Будь-які особи, що знаходяться за межами контрольованої зони.(1)
М2-4
(4)
К1-5
(3)
З1-4
(3)
Ч-4
(4)
Д1
(1)
16
Відвідувачі (запрошені з деякого приводу) (2)
М2-4
(4)
К1-5
(3)
З1-4
(3)
Ч-3
(3)
Д2-3
(2)
17
Представники організацій, що взаємодіють з питань технічного забезпечення (енерго-, водо-, теплопостачання і таке інше)(2)
М1-3
(3)
К1-5
(3)
З1-4
(3)
Ч-2
(2)
Д2-3
(2)
15
Хакери (3)
М2-4
(4)
К1-5
(3)
З4
(3)
Ч-4
(4)
Д1
(1)
18
Співробітники закордонних спецслужб або особи, які діють за їх завданням (4)
М4
(4)
К1-5
(3)
З1-5
(4)
Ч1-4
(4)
Д1-3
(2)
21
Специфікація моделі порушника за ознакою:
Позначення
1 Мотив порушення
Рівень загрози
М1
Безвідповідальність
1
М2
Самоствердження
2
М3
Корисливий інтерес
3
М4
Професійний обов’язок
4
Позначення
2 Основні кваліфікаційні ознаки порушника
Рівень загрози
К1
Знає функціональні особливості системи, основні закономірності формування масивів даних та потоків запитів до них, має навички щодо користування штатними засобами системи
1
К2
Володіє високим рівнем знань та практичними навичками роботи з технічними засобами системи та їх обслуговування
2
К3
Володіє високим рівнем знань у галузі програмування та обчислювальної техніки, проектування та експлуатації автоматизованих інформаційних систем
2
К4
Знає структуру, функції й механізми дії засобів захисту, їх недоліки
3
К5
Знає недоліки та “вади” механізмів захисту, які вбудовані у системне програмне забезпечення та його не документовані можливості
3
К6
Є розробником програмних та програмно-апаратних засобів захисту або системного програмного забезпечення
4
Позначення
Характеристика можливостей порушника
Рівень загрози
З1
Використовує лише агентурні методи одержання відомостей
1
З2
Використовує пасивні засоби (технічні засоби переймання без модифікації компонентів системи)
2
З3
Використовує лише штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути приховано пронесено крізь охорону
3
З4
Застосовує методи та засоби дистанційного (з використанням штатних каналів та протоколів зв’язку) упровадження програмних закладок та спеціальних резидентних програм збору, пересилання або блокування даних, дезорганізації систем обробки інформації.
3
З5
Застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передачі даних).
4
Позначення
2 Характеристика можливостей порушника
Рівень загрози
Ч1
До впровадження АС або її окремих компонентів
1
Ч2
Під час бездіяльності компонентів системи (у неробочій час, під час планових перерв у роботі, перерв для обслуговування і ремонту і т.д.)
2
Ч3
Під час функціонування АС (або компонентів системи)
3
Ч4
Як у процесі функціонування АС, так і під час призупинки компонентів системи
4
Позначення
3 Характеристика місця дії порушника
Рівень загрози
Д1
Без доступу на контрольовану територію організації
1
Д2
З контрольованої території без доступу у будинки та споруди
1
Д3
Усередині приміщень, але без доступу до технічних засобів АС
2
Д4
З робочих місць користувачів (операторів) АС
2
Д5
З доступом у зони даних (баз даних, архівів й т.ін.)
3
Д6
З доступом у зону керування засобами забезпечення безпеки АС
4
Висновок:
Як видно з даної моделі можливих комбінацій порушників щодо АС є дуже багато тому зупинимося лише на найнебезпечніших . Виділимо кілька можливих типів порушників, на які повинна бути орієнтована система захисту, що проектується.
З внутрішніх по відношенню до АС порушників найбільшу загрозу, як не дивно, несуть співробітники служби захисту інформації та адміністратор ЛОМ . Саме ці особи мають найбільший рівень доступу до елементів АС, і відповідно до інформації, що в ній знаходиться. Тому однією з основних вимог у побудові системи захисту і вибору політики безпеки в майбутньому є обмеження цих повноважень і затвердження відповідальності за їх порушення в офіційній документації, а також контроль за діями цих осіб.
Із зовнішніх по відношенню до АС порушників особливу увагу слід звернути на представників організацій, що взаємодіють з питань технічного забезпечення і співробітників центрів-конкурентів, або осіб, що діють від їх імені.
V. Політика безпеки (ПБ).
Під ПБ інформації слід розуміти набір законів, правил, обмежень і рекомендацій, які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз.
Положення ПБ може бути описане для всієї організації, АС, ОС, послуги що реалізуються системою (набору функцій), і т. ін. Чим дрібніший об'єкт, до якого описуються положення ПБ, тим конкретнішими і формальнішими стають правила. Політика безпеки висвітлює лише загальні та обов’язкові положення безпеки організації. Всі деталі повинні вирішуватись персоналом організації згідно з їх обов’язками, посадовими інструкціями та практичними навичками і досвідом. (напр. видача прав доступу працівникам, генерування паролів, застосуваня шифрування, використання програмного забезпечення, охоронних сигналізацій і т.д.).
Для ефективної розробки і функціонування система безпеки буде опиратися на чинні законодавчі акти, укази, постанови (розпорядження) Уряду України, а також враховувати результати законотворчої діяльності в країні в галузі інформатизації і захисту інформації.
Закони України:
“Про інформацію” (комерційна таємниця);
“Про внесення змін до Кодексу України про адміністративні правопорушення щодо встановлення відповідальності за порушення законодавства про державну таємницю”;
“Про захист інформації в автоматизованих системах”;
“Про власність”;
Загальні положення:
Відповідальним за безпеку інформації завжди є керівник організації.
Керівник може призначати конкретних працівників відповідальними за безпеку окремих елементів інформаційної системи.
Всі працівники повинні бути ознайомлені з положеннями ПБ та дотримуватись всіх обов’язків та вимог зазначених в цих положеннях.
У разі виявлення слабких місць або недоліків в положеннях ПБ слід негайно їх проаналізувати, зробити висновки і внести зміни в ці положення.
Положення ПБ щодо працівників наукового центру:
При прийомі працівників на роботу необхідно ретельно перевіряти достовірність інформації, вказаної в заявах та анкетах.
Працівники, що мають доступ до конфіденційної інформації повинні підписати документи про нерозголошення таємниць.
При встановленні нових систем безпеки чи впровадженні нових правил слід ознайомити з ними всіх працівників.
При прийомі на роботу працівників, їх права на доступ в приміщення організації повинні бути чітко визначені, затверджені і задокументовані.
Працівникам необхідно видати персональні ідентифікаційні картки, картки та коди доступу в відповідні приміщення.
Дата та час приходу працівників на роботу та залишення контрольованої території повинен реєструватись в системному журналі на КПП.
Вимоги до працівників:
Знати і дотримуватися законів, правил, політик безпек, процедур безпек.
Використовувати доступні захисні механізми для забезпечення конфіденційності і цілісності своєї інформації.
Вибирати гарні паролі, регулярно змінювати їх. Не записувати паролі на папері, не повідомляти їх іншим особам.
Працівники повинні строго дотримуватись режиму дня.
Працівники повинні завжди носити на видному місці особисті ідентифікаційні картки.
Допомагати іншим користувачам дотримувати заходіви безпеки. Указувати їм на виявлені недогляди.
Інформувати чи адміністраторів керівництво про порушення безпеки й інших підозрілих ситуацій.
Не робити неавторизованої роботи з даними, не створювати перешкод іншим користувачам.
Не намагатися працювати від імені інших користувачів.
Знати і дотримувати процедури для попередження проникнення злобливого коду, для його виявлення і знищення.
Знати і дотримуватися правила поведінки в екстрених ситуаціях, послідовність дій при ліквідації наслідків аварій.
Пройти інструктаж з техніки безпеки;
Працівникам категорично забороняється приносити будь які сторонні предмети на територію організації.
При виникненні проблем при роботі з КС слід повідомити про це адміністратора.
При поміченні в приміщенні посторонніх осіб чи осіб, що не мають прав доступу до приміщення необхідно негайно повідомити про це службу охорони з допомогою кнопки тривоги чи в усній формі.
Працівникам категорично забороняється виносити будь-яке майно організації за її межі.
Положення ПБ, щодо організаційних питань захисту:
Регулярно проводити наради, де варто розглядати питання пов’язані з діями на покращення захисту інформації, визначення основних загроз для інформації та ін.
Всі прийняті рішення стосовно інформаіцйної безпеки організації повинні узгоджуватись керівником організації.
Таємна інформація повина шифруватись.
Необхідно регулярно загальні засади захисту інформації, аналізувати та давати точну оцінку стану системі безпеки організації.
Необхідно регулярно перевіряти стан систем контролю доступу до приміщень.
При одержанні нових даних інформаційної системи необхідно призначити йому гриф таємності.
Періодично проводити перевірку приміщень та території на наявність закладних пристроїв.
Положення ПБ, що відносяться до загального функціонування системи:
Регулярно (раз в тиждень) проводити перевірку приміщень та території на наявність закладних пристроїв;
Не рідше ніж один раз в півроку слід оглядати всю апаратуру;
Необхідно регулярно перевіряти стан електромережі та дотримання всіх правил користування електроапаратурою;
При поміченні слабких місць або інцидентів в системі безпеки необхідно негайно повідомити про це службу безпеки;
Вся апаратура повинна бути заземлена.
Контрольно-пропускний пункт (КПП).
ПБ, яка буде використана для даного об’єкта - дискреційна.
Положення політики безпеки:
Всі відвідувачі повинні проходити процедуру ідентифікації. Дата та час приходу
повинен реєструватись в системному журналі на КПП;
Дата та час приходу працівників на роботу та залишення контрольованої території повинен реєструватись в системному журналі на КПП;
В обов’язки вартового має входити огляд автомобіля, щоб унеможливити ввезення в зону безпеки вибухових речовин;
Треба обладнати КПП засобами для відслідковування сторонніх випромінювань, з метою унеможливлення проносу на територію об’єкту різного роду підслуховуючих пристроїв;
Забезпечити працівника хорошою заробітною платою ;
Ретельно вибирати працівника (це повинна бути надійна особа);
Періодично перевіряти та контролювати роботу працівників.
Комп'ютерна система (КС) та обчислювальна мережа.
Вибираємо рольову ПБ з деякими елементами мандатної ПБ.
А. Положення ПБ, щодо користування:
Працівники повинні отримати персональні права доступу до КС, права на користування програмним забезпеченням, доступ до мережі та її ресурсів, які повинні відповідати вимогам, правам та обов’язкам працівників;
Працівники повинні зберігати в таємниці свій код доступу;
При введенні КС в експлуатацію слід ретельно перевірити її роботоспроможність, виникнення помилок та безпеку;
При втраті чи розголошенні персонального коду доступу слід негайно повідомити про це адміністратора;
Конфігурування системи та мережі повинно здійснюватись при відсутності в приміщенні будь-якого персоналу (крім працівників СБ);
Користувачі не повинні мати доступ до робочих програм конфігурування роботи системи та мережі;
Працівникам забороняється особисто вирішувати проблеми, які виникли при роботі системи;
При виникненні проблем при роботі з КС слід повідомити про це адміністратора;
Встановленням, конфігуруванням, перевіркою та оновленням програмного забезпечення займається тільки адміністратор;
Всі дії в КС повинні автоматично реєструватись в системному журналі;
При адмініструванні КС та КМ слід строго дотримуватись функцій, зазначених в документації продуктів та не виходити за їх рамки;
В разі виникнення технічних проблем слід звертатись до служби технічної підтримки виробника продукту;
Регулярно (раз в тиждень) проводити ретельну перевірку роботоспроможності системи для виявлення помилок та несправностей;
Для захисту від комп’ютерних вірусів та програм «троянський кінь» слід використовувати антивірусні програми;
Антивірусне програмне забезпечення та вірусні бази повинні регулярно (раз в два-три дні) оновлятись;
Щодня проводити повну перевірку системи на наявність вірусів та програм «троянський кінь»;
Магнітні носії інформації, нове програмне забезпечення, вхідна електронна пошта повинні ретельно превірятись на зараження вірусами та наявність програм «троянський кінь» перед запуском в КС;
Для захисту від зовнішніх атак по мережі слід використовувати відповідне програмне забезпечення - файєрволи, детектори атак, які пройшли всі повірки і сертифікацію. Періодично обновлювати їх;
Системні журнали повинні ретельно переглядатись для виявлення помилок роботи системи та можливих порушень чи атак;
В разі виникнення нештатних ситуацій та ремонтних робіт необхідно зняти всі носії інформації з АС та перенести їх у недоступне сховище;
Програмне забезпечення захисту від зовнішніх атак повинне регулярно оновлюватись, конфігуруватись в відповідності до потреб та поставлених вимог та перевірятись на наявність неполадок;
Програмне забезпечення захисту від зовнішніх атак повинне регулярно оновлюватись, конфігуруватись в відповідності до потреб та поставлених вимог та перевірятись на наявність неполадок.
Б. Положення ПБ, щодо фізичного захисту:
При покиданні приміщення чи роботі в приміщенні з таємною інформацією слід закривати вікна та двері та ретельно перевіряти безпеку системи;
Всі комп’ютери, магнітні та паперові носії інформації, на яких міститься ІзОД повинні бути розміщенні в приміщеннях з обмеженим доступом;
Коли ком’ютери не використовуються слід їх виключати або блокувати паролем систему;
Магнітні носії інформації та паперову документацію, коли вони не використовуються, слід зберігати в спеціальних захищених шафах;
Технічне обслуговування повинен здійснювати технічний персонал служби підтримки апаратури під наглядом СБ;
Забороняється зберігати вогненебезпечні та легкозаймисті предмети близько біля життєвоважливих ресурсів системи (комп’ютерів, сигналізацій, систем контролю доступу і т.і.);
В разі виявлення таємної інформації на МНІ слід її видалити;
В разі виявлення пошкоджень МНІ або нероботоспроможність МНІ утилізувати.
Всі мережеві кабелі повинні розміщуватись в коробах та проходити тільки по захищених приміщеннях;
Ретельно перевіряти магнітні носії, що не використовуються, на явність записаної на них таємної інформації, на явність пошкоджень і їх роботоспроможність.
В. Положення ПБ, щодо доступу:
Працівники повинні отримати персональні права доступу до КС, права на користування програмним забезпеченням, доступ до мережі та її ресурсів, які повинні відповідати вимогам, правам та обов’язкам працівників;
Коди доступу (паролі) повинні видаватись автоматично згідно певних правил (довжина паролю, вміст паролю і т.д.);
Періодично паролі повинні змінюватись;
Паролі повинні шифруватись;
Вхід користувача в систему та вихід з неї повинен реєструватись в системному журналі.
VI. Побудова моделі захисту комплексної системи об’єкту.
А. Розділення контрольованої зони на зони безпеки.
Розроблення даної системи розпочнемо з аналізу розташування об’єктів АС на території підохоронного підприємства та побудови відповідних зон безпеки.
Зона А:
Навколишні об’єкти і будови (у радіусі до 200м).
Зона Б:
Система водопостачання;
Система каналізації;
Стоянка автомобілів.
Зона В:
вікна;
основне приміщення (стіни, перекриття);
головний вхід.
Зона Г:
вхід в службове приміщення;
кімнати приміщення;
Зона Д (основні елементи АС):
ОТЗ;
Неосновні ТЗПІ;
ДТЗС.
Б. Захист зон безпеки.
Забезпечуємо захист кожної зони з метою створення послідовних рубежів на ...