Розроблення комплексної системи безпеки підприємства. Розрахунково

Перехід до торгівельного партнера Binance

Розроблення комплексної системи безпеки підприємства

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

Не вказано

Факультет:

Не вказано

Кафедра:

Не вказано

Інформація про роботу

Рік:

2006

Тип роботи:

Розрахунково - графічна робота

Предмет:

Інші

Група:

ІБ-31

Завантажити

Частина тексту файла (без зображень, графіків і формул):

Міністерство освіти та науки України Національний університет „Львівська політехніка” Розрахунково-графічна робота на тему “Розроблення комплексної системи безпеки підприємства“ Львів 2006 Мета роботи: розроблення комплексної системи безпеки приміщення. Завдання : Розробити проект комплексної системи безпеки одного із виділених приміщень, в якому циркулює ІзОД. Приміщення, специфіка у використанні цього приміщення персоналом, перелік основних та допоміжних технічних засобів обробки, передавання та приймання інформації наведені у таблиці. Варіант завдання № п/п Назва об’єкту (виділеного приміщення) Перелік ОТЗ, які знаходяться в приміщенні Перелік ТЗПІ, які не є основними Перелік ДТЗС Інформація, яка підлягає захисту 3 Лабораторія приладів для високоточних вимірювань Чотири персональні комп’ютери з’єднані в локальну мережу (з виходом в Інтернет), спеціальні вимірювальні прилади, комплекс випробування приладів, принтер, сигнальні лінії локальної мережі Ethernet, переговорний пристрій Проводовий телефон та радіотелефон, вимірювальні прилади, сканер, відеомагнітофон, кабелі телефонного зв’язку, лінії мережі електроживленя, пристрій для знищення паперу, мікрохвильова піч, кондиціонер, лінії пожежної сигналізації Інформація стосовно досліджень, які проводяться в лабораторії, частина з якої є інформацією для службового користування та державною таємницею Хід роботи. Визначення переліку об’єктів, які підлягають захисту. Побудова моделей об’єктів. Короткі теоретичні відомості Модель об'єкта захисту містить усебічні характеристики об'єкта захисту, що дозволяє органічно запровадити заходи безпеки в процес його функціонування на місці, в часі і відповідно до завдань, які вирішуються на об’єкті; У загальному випадку число моделей має відповідати кількості об’єктів, які підлягають захисту. При наявності кількох однотипних об’єктів достатньо однієї спільної моделі для цих всіх об’єктів, яка включає в себе характеристики цих об’єктів. Можне виділити чотири основні класи об’єктів, які підлягають захисту. Відповідно до вказаного завдання перелічимо відповідні об’єкти захисту у нашому випадку за певною ієрархією: Персонал лабораторії приладів для високоточних вимірювань. Інформація стосовно приладів, які знаходяться в лабораторії. Чотири персональні комп’ютери з’єднані в локальну мережу (з виходом в Інтернет), спеціальні вимірювальні прилади, комплекс випробування приладів, принтер, сигнальні лінії локальної мережі Ethernet, переговорний пристрій. Допоміжні технічні засоби і системи: Проводовий телефон та радіотелефон, вимірювальні прилади, сканер, кабелі телефонного зв’язку, лінії мережі електроживленя, кондиціонер, лінії пожежної сигналізації. Визначення та аналіз загроз об’єктам захисту та безпосередньо інформації. Побудова моделі загроз. Побудова моделі порушника. Короткі теоретичні відомості Загроза – будь-які обставини або події, що можуть бути причиною порушення безпеки об’єкта та нанесення збитків. Модель загроз об'єкту захисту – містить аналіз можливого переліку загроз безпечному стану об'єкта захисту та їх джерел, а також аналіз ризиків з боку цих загроз відповідно до умов функціонування підприємства; Модель порушника – абстрактний, формалізований або неформалізований опис порушника. Ризик – це функція ймовірності реалізації певної загрози, виду й величини завданих збитків. Для визначення загроз об’єктам захисту побудуємо матрицю загроз(Табл. 1) Табл. 1 Типи загроз Тип ДФ Джерело ДФ Середовище Апаратура Програми Люди Зовнішнє середовище Загрози природного походження Катастрофа Ціл. Дост. - - - - Умови Ціл. Дост. - - - - Випадкові загрози техногенного походження Вібрація - Ціл. Дост. - - - Перешкоди - Ціл. Дост. - - - ЕМС - Ціл. Дост. - - Аварія - - - - Ціл. Дост. Відмова-Л - - - Спост. Ціл. Дост. - Відмова-А - Спост. Ціл. Дост. - - - Відмова-П - - Спост. Ціл. Дост. - - Відмова-З Ціл. Дост. Ціл. Дост. - - - Збій-А - Конф. Спост. Ціл. Дост. - - - Збій-З Ціл. Дост. Ціл. Дост. - - - Помилка-Л - - - Конф. Спост. Ціл. Дост. - Помилка-П - - Конф. Спост. Ціл. Дост. - - Недбалість - - - Конф. Спост. Ціл. Дост. - Поломка-А - - - Конф.Ціл. Дост. - Поломка-Н - Ціл. Дост - Ціл. Дост - Вірус - - Конф. Спост. Ціл. Дост. Конф. Спост. Ціл. Дост. - Навмисні загрози техногенного походження дистанційної дії Підключення - Конф. Ціл. Дост. Конф. Ціл. Дост. Конф. Ціл. Дост. - ПЕМВ - Конф. - - - Е-Наводи - Конф. - - - Вібро-акустика - Конф. - - - Спецвплив - Конф. - - - Е-імпульс - Ціл. Дост. - - - Підслуховування-Т - Конф. - Конф. Оптика - Конф. - - - НСД-ЛОМ - Конф. Спост. Ціл. Дост. Конф. Спост. Ціл. Дост. Конф. Спост. Ціл. Дост. - Переадресація - - Конф. Спост. Дост. Конф. Спост. Дост. - Нав’язування - - Спост. Ціл. Спост. Ціл. - Навмисні загрози техногенного походження контактної дії Прослуховування - Спост. Ціл. Спост. Ціл. - - Читання-С - Конф. Конф. Конф. - Читання-Е - Конф. - Конф. - Читання-Д - Конф. - Конф. - Відключення-З - Ціл. Дост. Ціл. Дост. Ціл. Дост. - Пошкодження - - - Ціл. Дост. - Закладка - Конф. - Конф. - Випитування - - - Конф. Спост. - Копіювання - Конф. Конф. Конф. - Розкрадання - - - Конф. - Імітація - - Конф. Спост. Ціл. Конф. Спост. Ціл. НСД-РС - - Конф. Спост. Ціл. Дост. Конф. Спост. Ціл. Дост. - НСД-П - - Конф. Спост. Дост. Конф. Спост. Дост. - Взлом - - Конф. Спост. Дост. Конф. Спост. Дост. - Перехоплення - Конф. Спост. Ціл. Дост. Конф. Спост. Ціл. Дост. - Закладка-П - - Конф. Спост. Ціл. Дост. Конф. Спост. Ціл. Дост. - Вади - - Конф. Спост. Ціл. Дост. Конф. Спост. Ціл. Дост. - Підміна - - Конф. Спост. Ціл. Дост. Конф. Спост. Ціл. Дост. - Дезорганізація - - Ціл. Дост. Ціл. Дост. - Вербування - - - Конф. Ціл. - Персонал Позначення загроз Наслідки Конф. Ціл. Дост. Спост. 1 Відмова-Л + + + 2 Помилка-Л + + + + 3 Недбалість + + + + 4 Поломка-Н + + 5 Підключення + + 6 Підслуховування-Т + 7 НСД-ЛОМ + + + + 8 Переадресація + + + 9 Нав’язування + + 10 Прослуховування + + 11 Читання-С + 12 Читання-Е + 13 Читання-Д + 14 Відключення-З + + 15 Пошкодження + + 16 Закладка + 17 Випитування + + 18 Копіювання + 19 Розкрадання + 20 Імітація + + + 21 НСД-РС + + + + 22 НСД-П + + + 23 Взлом + + + 24 Перехоплення + + + + 25 Закладка-П + + + + 26 Вади + + + + 27 Підміна + + + + 28 Дезорганізація + + 29 Вербування + + Персональний комп’ютер Позначення загроз Наслідки Конф. Ціл. Дост. Спост. 1 Вібрація + + 2 Перешкоди + + 3 ЕМС + + 4 Відмова-А + + + 5 Відмова-П + + + 6 Відмова-З + + 7 Збій-А + + + + 8 Збій-З + + 9 Помилка-П + + + + 10 Поломка-А + + + 11 Поломка-Н + + 12 Вірус + + + + 13 ПЕМВ + 14 Е-Наводи + 15 Спецвплив + 16 Е-імпульс + + 17 Оптика + 18 НСД-ЛОМ + + + + 19 Переадресація + + + 20 Нав’язування + + 21 Прослуховування + + 22 Читання-С + 23 Читання-Е + 24 Копіювання + Лінія Ethernet Позначення загроз Наслідки Конф. Ціл. Дост. Спост. 1 Перешкоди + + 2 Підключення + + 3 ПЕМВ + 4 Е-Наводи + 5 Спецвплив + Переговорний пристрій Позначення загроз Наслідки Конф. Ціл. Дост. Спост. 1 Перешкоди + + 2 ЕМС + + 3 Підключення + + 4 ПЕМВ + 5 Спецвплив + 6 Е-імпульс + + 7 Підслуховування-Т + 8 Акустика + МОДЕМ Позначення загроз Наслідки Конф. Ціл. Дост. Спост. 1 Вібрація + + 2 Перешкоди + + 3 ЕМС + + 4 Відмова-А + + + 5 Відмова-П + + + 6 Відмова-З + + 7 Збій-А + + + + 8 Помилка-П + + + + 9 ПЕМВ + 10 Е-Наводи + 11 Е-імпульс + + 12 НСД-ЛОМ + + + + 13 Переадресація + + + Принтер Позначення загроз Наслідки Конф. Ціл. Дост. Спост. 1 Оптика + 2 Читання-С + 3 Читання-Д + Усі вище описані у даній таблиці загрози та шляхи їх здійснення складають модель загроз у нашому випадку. Тепер побудуємо модель порушника: Порушник –це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки. Модель порушника відображає його практичні та потенційні можливості, знання, час та місце можливої дії тощо. Під час розробки моделі порушника ми повинні визначити: Припущення щодо осіб, до яких може належати порушник; Припущення щодо мотивів дій порушника (цілей які він переслідує); Припущення щодо рівня кваліфікації та обізнаності порушника та його технічної оснащеності (щодо методів та засобів, які використовуються при здійсненні порушення); Обмеження та припущення щодо характеру можливих дій порушника (за часом та за місцем дії, тощо). Отже перечислимо характеристики які будуть складати модель порушника: Порушники діляться на дві групи: зовнішні і внутрішні порушники. Серед зовнішніх порушників виділимо такі: добре озброєна й оснащена силова група, що діє ззовні швидко і напролом; поодинокий порушник, що не має допуску на об’єкт і намагається діяти потайки. Серед потенційних внутрішніх порушників можна відзначити: допоміжний персонал об’єкта, що допущений на об’єкт, але не допущений до життєво важливого центру (ЖВЦ) АС; основний персонал, що допущений до ЖВЦ ; співробітників служби безпеки, які часто формально і не допущені до ЖВЦ, але реально мають достатньо широкі можливості для збору необхідної інформації і вчинені акції. Тепер перелічимо основні цілі порушника : Самоствердження; Корисливий інтерес; Професійний обов’язок; Безвідповідальність. Перечислимо основні засоби моделі порушника за рівнем кваліфікації та обізнаності щодо АС: Знає функціональні особливості системи, основні закономірності формування масивів даних та потоків запитів до них, має навички щодо користування штатними засобами системи Володіє високим рівнем знань та практичними навичками роботи з технічними засобами системи та їх обслуговування Володіє високим рівнем знань у галузі програмування та обчислювальної техніки, проектування та експлуатації автоматизованих інформаційних систем Знає структуру, функції й механізми дії засобів захисту, їх недоліки Знає недоліки та “вади” механізмів захисту, які вбудовані у системне програмне забезпечення та його недокументовані можливості Є розробником програмних та програмно-апаратних засобів захисту або системного програмного забезпечення. Модель порушника за показником можливостей використання засобів та методів подолання системи захисту. Використовує лише агентурні методи одержання відомостей Використовує пасивні засоби (технічні засоби переймання без модифікації компонентів системи) Використовує лише штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути приховано пронесено крізь охорону Застосовує методи та засоби дистанційного (з використанням штатних каналів та протоколів зв’язку) упровадження програмних закладок та спеціальних резидентних програм збору, пересилання або блокування даних, дезорганізації систем обробки інформації Застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передачі даних). Щодо характеру дій порушника за часом дії можемо визначити такі пункти: До впровадження АС або її окремих компонентів; Під час бездіяльності компонентів системи (в неробочій час, під час планових перерв у роботі, перерв для обслуговування і ремонту і т.д.) Під час функціонування АС (або компонентів системи) Як у процесі функціонування АС, так і під час призупинки компонентів системи За місцем дії порушників можна класифікувати: Без доступу на контрольовану територію організації З контрольованої території без доступу у будинки та споруди Усередині приміщень, але без доступу до технічних засобів АС З робочих місць користувачів (операторів) АС З доступом у зони даних (баз даних, архівів й т.ін.) З доступом у зону керування засобами забезпечення безпеки АС Розроблення системи захисту об’єктів. Основою функціонування системи заходів захисту інформації є комплексний план ТЗІ. На підставі аналізу матеріалів обстеження окремих моделей загроз (в органі, щодо якого здійснюється ТЗІ може бути складена загальна модель) визначаються головні та поточні задачі захисту інформації, розробляються організаційні, первинні та основні технічні заходи щодо ТЗІ та вказівки про порядок їх реалізації. Оскільки ми маємо автоматизовану систему, яка представляє собою чотири комп’ютери з’єднані в локальну мережу з виходом в Інтернет, то треба передбачити засоби захисту від потрапляння в АС шкідливих програм на зразок вірусів троянів. Для цього потрібно встановити на комп’ютер-сервер, який має безпосередній вихід в Інтернет, відповідні системи захисту типу FireWall. На усі без винятку комп’ютери потрібно встановити пакет антивірусних програм, і налаштувати його відповідним чином. Потрібно вчасно обновляти бази даних для цих програмних пакетів. Також потрібно налаштувати операційну систему на даних комп’ютерах так, щоб кожен користувач, який має до них доступ, мав свій унікальний ідентифікатор, пароль і відповідні права доступу до мережених ресурсів. Потрібно ввести відповідну політику зміни паролів, для зменшення ризику розголошення будь-чийого пароля. На апаратне забезпечення, згідно матриці дестабілізуючих факторів, можуть впливати такі загрози, як: Канали спеціального впливу, шляхом формування полів і сигналів з метою руйнування систем захисту або порушення цілісності інформації; Побічні електромагнітні випромінювання і наводи, акустичні, оптичні, радіотехнічні, хімічні та інші канали витоку інформації; Несанкціонований доступ шляхом підключення спеціальної апаратури до ліній зв’язку, маскування під зареєстрованого користувача, подолання засобів захисту для використання або нав’язування хибної інформації, застосування складних пристроїв і програм. Реалізація плану захисту інформації. Для території. Необхідно обгородити об’єкт парканом який забезпечував би неможливість візуального спостереження, і не допускав би проникнення сторонніх осіб на територію об’єкта. Необхідно встановити систему аварійного живлення і мережеві фільтри для того, щоб унеможливити псування інформації і пристроїв шляхом генерування перепадів напруг в електромережі. Захистити підсилювальний трансформатор та електрощитки за допомогою спеціальних захисних боксів, які закриваються на замок. Встановити у приміщені датчики руху, які сповіщать на КПП сигнал тривоги в разі проникнення на об’єкт сторонніх людей, в неробочий час. Щоб зменшити ризик проникнення у будівлю через вікна встановити на них додаткові магнітні датчики, які в разі розбиття чи відкривання вікна дадуть сигнал тривоги на ПКП. В разі необхідності можна оснастити вікна гратами У приміщення які мають ІзОД встановити додаткові замки на введення пароля. На люк водопостачання та каналізаційний люк встановити зовнішні заглушки, які унеможливлять відкриття люка з середини. Для захисту апаратного забезпечення від небезпечних факторів необхідно використовувати: екрановані лінії передачі даних, конектори і розетки, які унеможливлюють зчитування інформації шляхом використання побічних електромагнітних випромінювань. Також потрібно використовувати спеціальне хвилясте-матове скло, яке б унеможливлювало перехоплення інформації по оптичних та акустичних каналах, а „хвилястість” унеможливлювала б лазерне зчитування розмов з вібрацій вікон. Впровадження карткової системи ідентифікації працівників, зменшить ризик проникнення сторонніх осіб на територію приміщення, які можуть встановити обладнання для таємного спостереження і буде чітко контролювати час входу і виходу працівника з приміщення. Необхідно також проводити роз’яснювальну роботу з персоналом, з метою підвищення у працівників відповідальності і самосвідомості у покладених на них обов’язках які стосуються захисту об’єкту. Весь персонал має проходити ретельну перевірку з метою унеможливлення “атаки з середини”, оскільки витік інформації через працівників є одним з найнебезпечніших по своїх наслідках. Щоб цього не сталося необхідно розмежувати доступ персоналу до інформації яка становить таємницю. Доступ до такої інформації має бути дозволений тільки тим працівникам, яким ця інформація необхідна для роботи. Для законності. З метою впорядкування нормативно-документальної бази органу, щодо якого здійснюється ТЗІ повинні розроблені переліки наявних розпорядчих, організаційно-методичних, нормативних документів щодо ТЗІ та вказівок щодо їх виконання. Одночасно розробляються та затверджуються керівництвом інструкції, які встановлюють обов’язки, права та відповідальність особового складу органу, щодо якого здійснюється ТЗІ. В нашому випадку буде діяти Закон України “ Про інформацію“, який буде наведено у додатках , також буде наведено один із розпорядчих документів. Для ДТЗС. Оскільки про основні технічні засоби, які являються накопичувачами інформації, було вже сказано вище то зупинимось на допоміжних технічних засобах (ДТЗС). Розглянемо певні послідовності ДТЗС, можливі витоки інформації через них і відповідні засоби їх усунення: ДТЗС: 1. Кабелі телефонного зв’язку Випромінювання електромагнітних сигналів, які можуть бути перехопленні спец. апаратурою. 2. Лінія електроживлення Нерівномірності споживання струму пристроями, які приймають участь в обробці інформації Раптове знеструмлення може використовуватись, як диверсійний акт 3. Мікрохвильова піч Може бути місцем зберігання звукозаписуючого пристрою чи жучка 4. Кондиціонер Може бути використаний для проникнення в приміщення отруйного газу чи інших речовин 5. Лінії пожежної сигналізації Властивість елементів конструкції пристроїв перетворювати акустичні сигнали в електромагнітні з подальшим пердаванням колами електроживлення або керування; Для того щоб уникнути витоку інформації через ці канали необхідно використовувати екрановані кабелі, фільтри електромагнітних коливань, різні глушники, а також унеможливити різного роду наводи. На апаратурі типу відеомагнітофона, мікрохвильової печі, і т. п. поставити пломби і в разі їх пошкодження перевіряти вміст приладів на наявність підслуховуючих пристроїв. Для ОТЗ можливі небезпеки і шляхи їх усунення були описані в п.3. Контроль функціонування і керування системою ТЗІ. Для повного функціонування системи безпеки потрібний постійний контроль і нагляд над її об’єктами. Для цього наймається спеціаліст, який контроляє постійне обновлення захисних програм, перевіряє дотримання правил безпеки, перевіряє належний стан і працездатність охоронної системи (справність датчиків руху, надійність віконних грат та огорожі). Отже після складання системи захисту, повинен бути постійний контроль за роботою усіх її частин. Додаток № 1 Приблизний зміст наказу керівника органу, щодо якого здійснюється ТЗІ Про організацію захисту технічних засобів органу, щодо якого здійснюється ТЗІ від витоку інформації технічними каналами З метою забезпечення належного режиму при проведені в органі, щодо якого здійснюється ТЗІ робіт і усунення можливих каналів витоку інформації з обмеженим доступом (далі по тексту – ІзОД), НАКАЗУЮ: 1. Обов’язки щодо організації робіт з технічного захисту інформації з обмеженим доступом органу, щодо якого здійснюється ТЗІ покласти на структурний підрозділ ТЗІ в особі Шамана О.Р. Обов’язки щодо контролю повноти та якості реалізованих заходів покласти на комісію підрозділу. 2. Затвердити перелік інформації з обмеженим доступом, яка наявна в органі, щодо якого здійснюється ТЗІ, додаток № ____ до наказу. 3. Затвердити перелік виділених приміщень, інформаційних систем, спеціальних об’єктів на яких утворюється, обробляється, зберігається, передається інформація з обмеженим доступом, додаток № ____ до наказу. 4. Начальнику підрозділу ТЗІ в термін до 29.12.2006 представити мені для затвердження список осіб, відповідальних за забезпечення режиму у виділених приміщеннях, на об’єктах. 5. Встановити в органі, щодо якого здійснюється ТЗІ контрольовану зону (зони) відповідно до затвердженої мною планом-схемою, додаток № ____ до наказу. 6. Підрозділу ТЗІ вжити заходів, що виключають несанкціоноване перебування в контрольованій зоні сторонніх осіб і транспортних засобів. 7. Комісії з категоріювання провести категоріювання виділених об’єктів. 8. Підрозділу ТЗІ провести первинну атестацію виділених об’єктів, результат атестації зареєструвати в атестаційному паспорті виділеного приміщення (об’єкту, інформаційної системи). 9. Установити, що роботу з ІзОД допускається здійснювати тільки в приміщеннях, що пройшли атестацію. 10. При роботі з ІзОД дозволяється використовувати технічні засоби передачі, обробки і збереження інформації, що тільки входять у затверджений мною перелік (додаток № __ до наказу). 11. Для забезпечення захисту ІзОД від витоку з виділених приміщень за межі контрольованих зон певного підрозділу органу, щодо якого здійснюється ТЗІ (наприклад, головного енергетика) у цих приміщеннях провести захисні заходи відповідно до затвердженого мною плану-графіку (додаток № ___ до наказу). 11. Контроль за виконанням плану-графіка захисних заходів покласти на підрозділ ТЗІ. 12. На підрозділ ТЗІ покласти обов’язки з підготовки технічних засобів у виділених приміщеннях (якщо ці засоби вимагають попередньої підготовки) до проведення особливо важливих заходів. 13. Про проведення особливо важливих заходів відповідальним особам вчасно повідомляти підрозділ ТЗІ. 14. Начальнику підрозділу по завершенні організаційних, організаційно-технічних і технічних заходів для захисту об’єктів органу, щодо якого здійснюється ТЗІ провести перевірку заходів і представити мені Акт прийому робіт із захисту від можливого витоку ІзОД для узгодження і наступного затвердження. 15. Начальнику підрозділу разом із призначеними мною відповідальними за забезпечення режиму у виділених приміщеннях підготувати і представити мені на затвердження графік проведення періодичних атестаційних перевірок виділених приміщень і технічних засобів, що в них знаходяться. 16. Про всі виявлені при атестації й атестаційних перевірках порушення доповідати мені для вжиття оперативних заходів. Додаток № 2 ЗАТВЕРДЖУЮ АКТ категоріювання лабораторії приладів для високоточних вимірювань Вищий гриф секретності інформації, що циркулює на об’єкті, інформація, що становить державну таємницю. Об’єм інформації, що циркулює на об’єкті, з вищим грифом секретності (звичайний, значний) __значний__ Відомості щодо можливості застосування стаціонарних засобів розвідки поблизу об’єктів: Найменування інопредставництва__________Посольство США___________ Відстань до об’єкту - ___1350__м. Підстава для категоріювання (первинна, планова, у зв’язку із змінами)_______планова______ Раніше встановлена категорія _______ інформація, що становить державну таємницю ____ Встановлена категорія_____ інформація, що становить державну таємницю _____ Додаток № 3 ЗАТВЕРДЖУЮ ПАСПОРТ на приміщення № _1_ Кімната № 1 корпус_1_ визначена як виділене приміщення ___ категорії наказом по підприємству № _1_. Робота з приладами для високоточних вимірювань, високий ступінь конфіденційності, постійний характер робіт. Загальна характеристика приміщення: Розташування (назва будівлі, поверх, тощо) площа, висота стін, характеристика стін та перекриття, даху (капітальні, міцні), характеристика вхідних дверей (воріт), як закриваються (замки, засуви), характеристика вікон (внутрішні грати, внутрішні стекла рифлені). Охоронна та пожежна сигналізація: тип, характеристика, які елементи приміщення підключені, куди виведена. Відомості про розпорядчі документи (акти прийому системи захисту, акти перевірок, тощо, а також інструкції про порядок виконання робіт, проведення нарад та ін.): № п/п Реєстраційний № документу Найменування Місцезнаходження (справа, аркуш) Примітка 1 2 3 4 5 Схема розташування приміщення на плані контрольованої зони: Малюнок поверху, границя контрольованої зони (КЗ) на місцевості, відстань від приміщення до границь КЗ. Малюнок поперечного переріза будинку (щоб був видно поверх), відстань від приміщення до границь КЗ. Пояснення щодо призначення суміжних з виділеним приміщень. Перелік технічних засобів, встановлених у приміщенні: № п/п Найменування, тип, заводський номер Кількість Спосіб захисту Примітка 1 2 3 4 5 План розміщення технічних засобів і трас прокладки комунікацій: Схематичний малюнок плану приміщення, на якому вказані місця встановлення технічних засобів (номери технічних засобів збігаються з нумерацією по п. 5 паспорту), траси проходження кабелів (зв’язку, передачі даних, електроживлення і заземлення), інженерні комунікації (водопровід, опалення, вентиляція). Вказуються відстані від технічних засобів і кабелів до границі контрольованої зони, відстані між окремими видами технічних засобів. Організаційні заходи, вжиті для захисту інформації: Стисло описуються міри обмеження (нормативні документи приведені в п. 3 паспорту), наприклад: Включення ПЕОМ № 132 при веденні секретних переговорів забороняється. Телефонні апарати міської та внутрішньої АТС розташовувати не ближче 0,5 м від апарата спецзв’язку. Відповідальний за приміщення: З мірами захисту інформації, реалізованими в даному приміщенні, ознайомлений: № п/п Дата ознайомлення Прізвище, ім’я та по батькові Особистий підпис 1 2 3 4 Відомості про атестаційні перевірки1): № п/п № техн. засобу Дата, № документа Найменування документа, Висновок по перевірці Примітка 1 2 3 4 5 Відомості про зміни в паспорті: № п/п Дата, № документа Замінені (змінені) аркуші Примітка 1 2 3 4 Паспорт складений: ким, коли, підпис. Додаток 3 ЗАТВЕРДЖУЮ Керівник органу, щодо якого здійснюється ТЗІ Приблизний зміст АКТ ПРИЙМАННЯ РОБІТ із захисту органу, щодо якого здійснюється ТЗІ від можливого витоку інформації 1. Описуються особливості територіального розташування органу, щодо якого здійснюється ТЗІ стосовно інших міських споруджень, сусідніх підприємств, установ та організацій, а також посольств, іноземним представництв, спільних підприємств та ін. 2. Уточнюються ступінь конфіденційності наявних в органі, щодо якого здійснюється ТЗІ робіт і число зайнятих на цих роботах осіб. 3. Дається опис контрольованої зони (зон) з посиланням на затверджену керівником органу, щодо якого здійснюється ТЗІ план-схему. 4. Перелічуються (чи робиться посилання на відповідний документ) виділені приміщення, інформаційні системи та спеціальні об’єкти. 5. Даються описи внутрішніх контрольованих зон з додатком переліку організаційних мір, який необхідно реалізовувати перед проведенням особливо важливих заходів. 6. Перелічуються основні технічні засоби та системи (при їхній наявності) із вказівкою організації, що дала висновок про можливість їхнього застосування для передачі, обробки і збереження конфіденційної інформації і дати видачі висновку. Вказується їхнє призначення, місце розташування й особливості експлуатації при проведенні закритих заходів. 7. Перелічуються допоміжні технічні засоби і вказується їхнє призначення. 8. Вказуються місця установки станційного обладнання систем зв’язку. Дається опис кабельного розведення допоміжних технічних засобів, при цьому виділяються ланцюги, кабелі і проводи, що ідуть за межі контрольованої зони. 9. Дасться опис і характерні риси систем електроживлення і заземлення основних і допоміжних технічних засобів і систем; під характерними рисами маються на увазі наступне: місця розташування трансформаторних підстанцій, навантаження фідерів живлення з указанням живлячих ліній, що виходять за межі контрольованої зони, пристрій захисного заземлення (занулення), чи сполучаються технологічне і захисне заземлення, де розташовуються контури, що заземлюють, чи виходять за межі контрольованих зон (зони) заземлюючі проводи і шини. 10. Приводиться перелік кінцевих пристроїв основних та допоміжних технічних засобів, розміщених у виділених приміщеннях. 11. Представляються результати аналізу можливих каналів витоку конфіденційної інформації. При аналізі необхідно мати у виді, що легко піддаються впливу наступні компоненти технічних засобів: – по електричних полях – усі неекрановані кінцеві пристрої допоміжних технічних засобів, ланцюги і проводи; – по магнітних полях – кінцеві пристрої, що містять різного роду котушки індуктивності (трансформатори, реле, котушки дзвоників, дроселів); – по звукових полях – пристрої, що мають мікрофонний ефект (наприклад, динамічні гучномовці, телефонні капсулі, електромагнітні реле, електричні дзвінки, вторинні електрогодинники). Вказані пристрої і елементи допоміжних технічних засобів можуть призводити до виникнення каналів витоку, якщо ланцюги від них виходять за межі контрольованих зон або мають сумісний пробіг у загальному кабелі з ланцюгами, що ідуть за межі контрольованих зон. Крім того, витік можливий при впливі електричних, магнітних і звукових полів на пристрої, що містять автогенератори (наприклад, телевізори, радіоприймачі). 12. Перелічуються реалізовані і намічені до реалізації (з вказуванням термінів виконання) захисні заходи щодо блокування можливих каналів витоку конфіденційної інформації за межі контрольованих зон (зони) і виділені приміщення, що пройшли атестацію. На закінчення акта вказується, які можливі канали витоку конфіденційної інформації з виділених приміщень блоковані. До складання акта залучаються представник адміністрації, відповідальний за внутріоб’єктовий режим, представник режимно-секретного відділу, керівник групи контролю, інші зацікавлені особи органу, щодо якого здійснюється ТЗІ.

Розрахунково - графічна робота Інші

Lion

18.03.2012 01:03-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись