Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Розроблення комплексної системи безпеки підприємства
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Кафедра захисту інформації
Інформація про роботу
Рік:
2024
Тип роботи:
Розрахунково - графічна робота
Предмет:
Метрологія
Частина тексту файла (без зображень, графіків і формул):
Міністерство науки та освіти України
Національний університет „Львівська політехніка”
Інститут комп’ютерної техніки, автоматики та метрології
кафедра „Захисту інформації”
Розрахунково-графічна робота
на тему “Розроблення комплексної системи безпеки підприємства”.
Завдання
1.Розробити проект комплексної системи безпеки центру дослыдження полымерних сполук в якому циркулює ІзОД. Специфіка у використанні цього приміщення персоналом, перелік основних та допоміжних технічних засобів обробки, передавання та приймання інформації наведені у таблиці(варіант №6 План №2).
№ п/п
Назва об’єкту (виділеного приміщення)
Перелік ОТЗ, які знаходяться в приміщенні
Перелік ТЗПІ, які не є основними
Перелік ДТЗС
Інформація, яка підлягає захисту
6
Центр дослідження полімерних сполук
Локальна обчислювальна мережа з чотирьох комп’ютерів, один з яких є сервером (з виходом в Інтернет), телефонний комутатор, модем, комплекс для дослідження полімерних сполук, принтер, виділена телефонна лінія між центральним офісом та філіями, сигнальні лінії мережі Ethernet, принтер
Внутрішня МініАТС, системний телефон та два телефони підключені до МініАТС,
телефакс, вимірювальні прилади, сканер
кабелі телефонного зв’язку, лінії мережі електроживлення, пристрій для знищення паперу, сторонні не задіяні дроти
Інформація стосовно досліджень, які проводяться в центрі, частина з якої є інформацією для службового користування та державною таємницею
Мета роботи: ознайомитися з основними методами та засобами побудови комплексної системи безпеки об’єкту, навчитися проектувати дану систему згідно встановлених вимог.
План розташування апаратури в середині офісу
2.Визначення та перелік об’єктів які підлягають захисту.
А)основні технічні засоби прийому, обробки, збере ження та передачі інформації:
Чотири Персональних комп’ютера;
Локальна мережа з виходом в Інтернет;
Модем;
Телефонний комутатор;
Комплекс для дослыдження полымерних сполук;
Виділена телефонна лінія між центральний офісом та філіями;
Сигнальні Лінії мережі Ethernet;
Б) Технічні засоби і системи, що не відносяться до засобів і систем інфор метизації:
Внутрішня міні АТС;
Системний телефон ;
Два телефони підключені до міні АТС;
Сканер;
Вимірювальні пристрої;
В) Допоміжні технічні засоби і системи:
Кабелі телефонного зв’язку;
Лінії мереж та електроживлення;
Пристрій для знищення паперу;
Сторонні незадіяні дроти;
Г)Зовнішні Об’єкти:
Вікна;
Двері;
Каналізаційний Люк;
Люк Водопостачання;
Трансформаторний Підсилювач;
Автостоянки;
Огорожа;
Д)Персонал;
Електрик;
Сантехнік;
Служба Безпеки;
Адміністратори;
Керівник;
Модель об’єктів захисту
Об’єкт захисту
Характеритика
Джерела загроз
Ступень Важливості
Персональнийкомп’ютер;
DWL K8 Athlon 64-3.0/ATX/2*512/200G/128M/DVD-RW/Sb/17''
Апаратура,
Персонал, Програми
Найвищий
Локальна мережа
4 Персональних комп’ютера, (один з яких є сервером з виходом в Інтернет) з’єднаних кабелем «вита Пара»
Середовище, програми,апаратура
Високий
Модем;
RUSS(Vector) SF 1156V / R21Plus
апаратура
середній
Телефонний комутатор;
WIRELESS ACCESS POINT D-LINK DWL-2000AP+
Апаратура,
середній
Принтер
Принтер HP LaserJet 5100TN 1200dpi, 16стор/хв, 32(192)Mb, A3
Персонал
низький
Виділена телефонна лінія між центральний офісом та філіями;
Телефонна лінія розрахована на 64 користувача,загальна довжина кабелів>10км,кількість підключених на момент перевірки телефонів -33,напруга в мережі-3В,завадосткійкість-75%
Середовище,апаратура
середній
Вимірювальні прилади;
Різноманітні прилади по вимірюванню висоти,кутів,температури,радіусів,довжин та ін.
Персонал
низький
Сканер
Сканер Mustek BearPow А4, 4800dpi, 48bit, USB+SCSI
Персонал, апаратура
низький
Кабелі телефонного зв’язку
Стандартні централізовані кабелі телефонного зв’язку
Середовище, апаратура
середній
Лінії мереж та електроживлення
Кабелі електроживлення, систем відео нагляду, сигналізації та ін.
Середовище, Апаратура, Персонал
високий
Пристрій для знищення паперу
Різограф Cannon 512А для А3 10 лис/хв
Персонал
низький
Вікна
13 віконних рам з подвійним шклопакетом з герметичною прокладкою,просте прозоре матове шкло
Середовище, апаратура, персонал
середній
Двері
5 дубових дверей з товстого полотна,з порушенням звукоізоляції,вхідні двері металічні на простому замку
Середовище, апаратура, персонал
вискоий
Каналізаційний Люк
Чавунний люк для захисту каналізаційної ями
Середовище, апаратура
низький
Люк Водопостачання
Металічний люк для захисту труб водопостачання
Середовище, апаратура
середній
Трансформаторна Підсилювач
Трансформаторна підстанція на мідній основі понижує, яка подається з кабелів електроживлення
Персонал, апаратура, середовище
середній
Автостоянки
Автостоянка для відвідувачів центру -15 машин ,для працівників центру-20 машин
Персонал
середній
Огорожа
Проста проволочена мідна огорожа по всьому периметру захисту
Середовище
високий
Персонал
5 працівників центру, Електрик, Сантехнік, Служба Безпеки, Адміністратори, Керівник,
Персонал
Високий
Модель порушника
Таким чином, розглянуті нами потенційні цілеспрямовані (навмисні) та випадкові загрози є двома основних класами прояву можливих загроз НСД до інформації ІС ОВС.
Оскільки час та місце факту умисної загрози НСД передбачити неможливо, доцільно прогнозувати узагальнену інформаційно-аналітичну модель поведінки потенційного порушника ТЗІ в найбільш загрозливих ситуаціях, а саме:
1) порушник може з’явитися в будь-який час та в будь-якому місці периметру безпеки ІС;
2) кваліфікація та освіченість порушника ТЗІ можуть бути на рівні розробника даної системи;
3) інформація щодо принципів роботи системи, у тому числі і таємна, порушнику ТЗІ відома;
4) для досягнення своєї мети порушник ТЗІ вибиратиме найбільш слабкішу ланку в захисті;
5) порушником ТЗІ може бути не тільки стороння особа, але і санкціонований користувач системи;
6) порушник діє один.
Для кращого розуміння того як поведе себе порушник, формалізуємо типову модель стратегії поведінки порушника ТЗІ в інформаційній мережі:
1) одержати несанкціонований доступ до захищуваної інформації;
2) видати себе за іншого користувача, щоб зняти з себе відповідальність або ж використати його повноваження з метою формування хибної інформації, зміни санкціонованої інформації, застосування хибного посвідчення особи, санкціонування хибних обмінів інформацією або їх підтвердження ;
3) відмовитись від факту формування переданої інформації;
4) стверджувати, що інформація одержана від деякого санкціонованого користувача, хоча вона сформована самим же порушником ТЗІ;
5) стверджувати, що одержувачу в визначений термін часу була надіслана інформація, яка насправді не відсилалася (або відсилалась в інший термін часу);
6) відмовитись від факту одержання інформації, яка насправді була одержана або стверджувати щодо іншого терміну її одержання;
7) несанкціоновано змінити повноваження інших санкціонованих користувачів (розширити або обмежити, вивести або ввести інших осіб і т. ін.);
8) несанкціоновано розширити свої повноваження по доступу до захищуваної інформації та її обробці;
9) приховати факт наявності деякої інформації в іншій інформації (потайна передача однієї в змісті іншої інформації);
10) підключитись до ліній зв’язку між іншими користувачами в ролі активного ретранслятора;
11) вивчити- хто, коли і до якої інформації отримує доступ (навіть якщо сама захищувана інформація залишається недоступною);
12) заявити щодо сумнівності протоколу забезпечення інформацією із-за розкриття деякої інформації, яка згідно умовам протоколу обміну повинна залишатися обмеженою;
13) модифікувати програмне забезпечення шляхом вилучення або надання нових функцій;
14) умисно змінити протокол обміну інформацією з метою його порушення або підриву довіри до нього;
15) заважати обміну повідомленнями між іншими санкціонованими користувачами шляхом введення перешкод з метою порушення автентифікації повідомлень.
Подані вище формалізовані моделі стратегії поведінки порушника ТЗІ в обчислювальних мережах вказують на те, наскільки важливо знати , кого рахувати порушником ТЗІ. При цьому в ролі потенційного порушника ТЗІ може бути не тільки стороння особа, але і санкціонований користувач ІС, наприклад, навіть адміністратор системи з наступним блокуванням реєстрації своїх дій в ІС
5.Нормативно-правове забезпечення
На сьогоднішній день інформація відіграє ключову роль в функціонуванні суспільних і державних інститутів, а також в житті кожної людини. Ефект, який досягається за рахунок впровадження інформаційних технологій, зростає при збільшенні масштабів обробки інформації, включаючи обчислювальні мережі та
автоматизовані системи управління
Дослідження українського законодавства в сфері інформаційних правовідносин, тобто суспільних відносин щодо володіння, користування і розпорядження інформацією, констатує, що нормативне забезпечення цієї галузі має невисокий загальний рівень розробленості.
Як позитивне, слід насамперед зазначити визнання державою права власності на інформацію. Тому, відповідно до ст.41 Конституції, інформація є предметом державної охорони, яка забезпечується Законом “Про інформацію” від 2 жовтня 1992 року, Законом “Про захист інформації в автоматизованих системах” та ст. 198-1 кримінального кодексу. Крім цих документів до нормативно-правової бази, яка регулює інформаційні правовідносини треба віднести наступні:
Положення про Державний комітет України з питань державних секретів та технічного захисту інформації. Затверджено Указом Президента України від 05.11.96р. №1047\96.
Положенням визначено основні завдання Держкомсекретів України, його обов’язки та права щодо реалізації державної політики у сфері забезпечення охорони державної таємниці та технічного захисту інформації у межах, встановлених законами України, а також щодо координації режимно-секретної діяльності та функціонування інфраструктури системи технічного захисту інформації центральних та місцевих органів виконавчої влади, підприємств, установ і організації усіх форм власності, дипломатичних представництв та інших об’єктів України за кордоном.
Положення про технічний захист в Україні. Затверджено постановою КМУ від 09.09.94р. №632.
Положення визначає об’єкт захисту та мету ТЗІ, структуру та основні завдання складових частин системи ТЗІ, порядок та організацію комплексного технічного захисту інформації з обмеженим доступом на об’єктах різного призначення і організацію контролю за ефективністю ТЗІ.
Постанова КМУ від 13.01.95р. №24. “Про заходи щодо виконання постанови Верховної Ради України від 05.07.94р. №80”. “Про введення в дію Закону України “Про захист інформації в автоматизованих системах” та статті 34 Закону України “Про державну таємницю”.
Цією Постановою також схвалена “Програма робіт з організації стандартизації та сертифікації в галузі технічного захисту інформації на 1995-1998 роки”.
Положення про порядок видачі суб’єктам підприємницької діяльності спеціальних дозволів (ліцензій) на здійснення окремих видів діяльності. Затверджено Постановою КМУ від 17.05.94р. №316.
Положення визначає види діяльності, на які передбачена законодавчими актами України видача спеціальних дозволів (ліцензій), в тому числі виробництво та сервісне обслуговування систем і засобів виконання робіт, надання послуг, що забезпечують технічний захист інформації. Положення також визначає умови і правила одержання ліцензій.
Інструкція щодо умов і правил здійснення діяльності у галузі технічного захисту інформації та контролю за її дотриманням. Затверджено наказом ДСТЗІ від 26.05.94р. №46, зареєстровано в Мінюсті України 01.06.94р. №120\329.
Інструкція визначає умови і правила здійснення діяльності у галузі ТЗІ по виробництву та сервісному обслуговуванню систем і засобів, виконання робіт, наданню послуг, що забезпечують технічний захист інформації.
Положення про порядок опрацювання, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації. Розроблено згідно з Постановою КМУ від 26.06.96р. №667. Затверджено наказом ДСТЗІ від 01.07.96р. №44, зареєстрованого в Мінюсті України 18.07.96р. №366\1391.
Положення визначає порядок розроблення, погодження, затвердження, реєстрацію та виконання нових, перегляду та скасування чинних міжвідомчих нормативних документів технічного характеру (норми, методики, положення, інструкції тощо) системи технічного захисту інформації, що не належать до нормативних документів із стандартизації, але з обов’язковим для виконання всіма центральними і місцевими органами виконавчої влади, Урядом Автономної Республіки Крим, органами місцевого самоврядування, військовими частинами всіх військових формувань, створених відповідно до законодавства, підприємствами, установами й організаціями незалежно від форм власності, діяльність яких пов’язана з технічним захистом інформації.
ДСТУ 3396 0-96. Захист інформації. Технічний захист інформації. Основні положення. Затверджено наказом Держстандарту України від 11.10.96р. №423 введено в дію 01.0197р.
Стандарт визначає об’єкт захисту та мету ТЗІ, чотири основні етапи побудови системи ТЗІ та склад основних нормативних документів, що забезпечують функціонування системи ТЗІ. Вимоги вказаного стандарту обов’язкові для підприємств, організацій та установ всіх форм власності, які володіють, користуються або розпоряджаються інформацією, що підлягає технічному захисту.
ДСТУ 1.3-93. Порядок розроблення, побудови, оформлення, узгодження, затвердження, позначення та реєстрації технічних умов. Затверджено та введено в дію наказом Держстандарту України від 29.07.93 р. №116.
Стандарт встановлює порядок розроблення, побудови, викладу, оформлення, узгодження, затвердження, позначання та державної реєстрації технічних умов на продукцію (послуги), що виготовляються у всіх галузях народного господарства України, крім розроблюваної та виготовленої на замовлення Міністерства оброни, а також змін до них.
Вимоги цього стандарту є обов’язковими для підприємств, установ і організацій, що діють на території України, а також для громадян-суб’єктів підприємницької діяльності незалежно від форм власності і видів діяльності.
ДБН А.2.2-2-96. Проектування. Технічний захист інформації. Загальні вимоги до організації проектування та документації для будівництва. Наказом Держкоммістобудування України від 02.09.96 р. №156 введено в дію 01.01.97р.
Стандарт встановлює норми та вимоги до організації проектування, проектної документації для нового будівництва, розширення, реконструкції підприємств та капітального ремонту будівель та споруд об’єктів, де є необхідність проведення робіт з ТЗІ. Заходи з ТЗІ можуть виконуватися організаціями, які мають відповідні ліцензії Держкоммістбудування України або іншими організаціями, які мають ліцензії Держкомсекретів України відповідно до Завдання замовника. Положення норм обов’язкові для застосування суб’єктами інвестиційної діяльності України та представництвами України за кордоном при виконанні проектних та будівельних робіт з урахуванням вимог технічного захисту інформації, які містять відомості, що становлять державну або іншу передбачену законодавством України таємницю, а також конфіденційну інформацію, що є державною власністю.
Норми можуть бути використані суб’єктами, пофесійна діяльність яких пов’язана з захистом конфіденційної інформації, що не є власністю держави.
КНД 50-009-93. Типова побудова технічних умов. Методичні вказівки. Затверджено та введено в дію наказом Держстандарту України від 29.07.93р. №116.
Керівний нормативний документ з стандартизації поширюється на методи та зміст робіт з розроблення технічних умов, правила викладу їхніх розділів. Положення цього керівного нормативного документу можуть використовуватись підприємствами, установами і організаціями, що діють на території України, а також громадянами-суб’єктами підприємницької діяльності незалежно від форм власності і видів діяльності.
Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок. (ТР ЕОТ-95). Нормативний документ системи ТЗІ, затверджено наказом ДСТЗІ від 09.06.95р. №25.
Тимчасові рекомендації з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань і наводок. (ТР ТЗІ-ПЕМВН-95). Нормативний документ системи ТЗІ, затверджено наказом ДСТЗІ від 09.06.95р. №25.
Тимчасові рекомендації щодо розроблення розділу із захисту інформації в технічному завданні на створення автоматизованої системи. (ТРАС-96). Нормативний документ системи ТЗІ, затверджено наказом ДСТЗІ від 03.07.96р. №47.
Правила побудови, викладення, оформлення та позначення нормативних документів системи ТЗІ.НД ТЗІ 1.6-001-96. Нормативний документ системи ТЗІ затверджено наказом ДСТЗІ від 26.07.966р. №51.
Інструкція про порядок надання дозволу на використання імпортних засобів ТЗІ, а також продукції, яка містить їх у своєму складі. Нормативний документ системи ТЗІ затверджено наказом ДСТЗІ від 31.05.95р. №13 і зареєстровано в Мінюсті України 12.07.95р. №215\751.
На цей час більшу частину нормативно-технічних документів (НТД) ТЗІ в Україні складають НТД Держтехкомісії (ДТК) колишнього СРСР, які рекомендовані до використання керівним листом ДСТЗІ від 01.03.94р. на основі Постанови Верховної Ради України №1545-12 від 12.09.91р. “Про порядок тимчасової дії на території України окремих актів законодавства Союзу РСР”.
До загальнодержавних нормативним актам з питань захистуінформації треба додати відомчі накази та інструкції МВС України.
Наказ №07 від 06.03.97р. Наказ про оголошення “Розгорнутого переліку відомостей, що становлять державну таємницю в системі МВС України”. Відповідно до ст.10 Закону України від 21 січня 1994р. “Про державну таємницю”, визначає розгорнутий перелік відомостей, що становлять державну таємницю у системі МВС України:
- відомості про охорону військових, особливо важливих, режимних об’єктів, технічний захист інформації, забезпечення пожежної охорони, зв’язку;
- відомості оперативно-службового характеру.
Наказ №08 від 06.03.97р. Наказ “Про заходи щодо забезпечення режиму секретності у системі МВС України та затвердження Тимчасової інструкції”.
Наказ вимагає забезпечення режиму секретності у системі МВС України відповідно до законів України, постанов Уряду та інших чинних нормативних документів з питань захисту секретів та Тимчасової інструкції.
Ця інструкція розроблена відповідно до вимог законів України “Про державну таємницю”, “Про інформацію”, “Про порядок виїзду з України і в’їзду в Україну громадян України”, “Про захист інформації в автоматизованих системах”, затверджених Кабінетом Міністрів України положень “Про державного експерта з питань таємниць”, “Про порядок і умови надання органам державної виконавчої влади, підприємствам, установам і організаціям дозволу (ліцензії) на здійснення діяльності, пов’язаної з державною таємницею, та про особливий режим цієї діяльності”, “Про технічний захист інформації в Україні”, “Про режимно-секретні органи в міністерствах, відомствах, Уряді Автономної Республіки Крим, місцевих органах виконавчої влади, виконкомах Рад, на підприємствах, в установах і організаціях”, “Про Держкомітет України з питань державних секретів та технічного захисту інформації”, інших чинних нормативних актів з питань захисту державних секретів. Вона визначає режим секретності, є основним керівним документом, обов’язковим для виконання в МВС України, головних управліннях МВС України в Криму, в місті Києві та Севастополі, управліннях МВС України в областях і на транспорті, міських, районних та лінійних управліннях, міськрайлінорганах, установах виконання покарань, навчальних закладах, науково-дослідних установах, інших підрозділах системи МВС України, діяльність яких пов’язана з державною таємницею.
Наказ №059 від 14.07.98р. Цей наказ вводить “Положення про встановлення, обслуговування технічних засобів зв’язку, слабкострумового обладнання та засобів технічного захисту інформації з обмеженим доступом у виділених приміщеннях центрального апарату МВС України”.
Це Положення визначає єдиний порядок виконання робіт з обстеження, планування, монтажу, регламентованого технічного обслуговування та ремонту технічних засобів зв’язку, слабкострумового обладнання та засобів технічного захисту інформації з обмеженим доступом у виділених атестованих приміщеннях центрального апарату МВС України.
Саме цими усіма нормами забезпечується легітимність введення статті 198( кримінального кодексу (далі – КК), якою здійснюється кримінально-правова охорона зазначеного кола суспільних відносин.
Стаття 198( КК передбачає відповідальність за дві самостійні форми злочинних дій:
1) умисне втручання у роботу автоматизованих систем, що призвело до перекручення чи знищення інформації або носіїв інформації;
2) розповсюдження програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи і здатних спричинити перекручення або знищення інформації чи то носіїв інформації.
Предметом цих злочинів є:
1) автоматизовані системи (АС) — системи, що здійснюють автоматизовану обробку даних і до складу яких входять технічні засоби їх обробки (засоби обчислювальної техніки і зв'язку), а також методи і процедури, програмне забезпечення (ст. І Закону від 5 липня 1994 р. "Про захист інформації в автоматизованих системах");
2) носії інформації — фізичні об'єкти, поля і сигнали, хімічні середовища, накопичувачі даних в інформаційних системах (ст. 24 Положення про технічний захист інформації в Україні, затвер дженого постановою Кабінету Міністрів України від 9 вересня 1994 р. );
3) інформація, яка використовується в АС, — сукупність усіх даних і програм, які використовуються в АС незалежно від способу їх фізичного та логічного представлення (ст. 1 Закону від 5 липня 1994 р.);
4) програмні і технічні засоби, призначені для незаконного проникнення в автоматизовані системи.
Об'єктивна сторона злочинів характеризується двома видами дій:
1) втручанням в роботу АС;
2) розповсюдженням програмних і технічних засобів, призначених для незаконного проникнення в АС і здатних спричинити перекручення або знищення інформації чи носіїв інформації.
Втручання у роботу автоматизованих систем є матеріальним складом злочину, оскільки, крім різноманітних дій у вигляді різного впливу на роботу автоматизованої системи, обов'язковими ознаками його об'єктивної сторони є також наслідки у вигляді перекручення чи знищення інформації, тобто порушення її ціліс ності (руйнування, спотворення, модифікація і знищення) (абз. 2 п. 2 Положення про технічний захист інформації в Україні); і причинний зв'язок між вчиненими діями і наслідками. Відсутність наслідків у вигляді перекручення або знищення інформації чи носіїв інформації при втручанні у роботу АС, залежно від мети такого втручання, може кваліфікуватися:
1) як замах на вчинення злочину, передбаченого ст. 198(, якщо метою втручання було спотворити або знищити інформацію, її носії;
2) за статтями 56, 57, 148 КК (при наявності ознак цих злочинів), якщо метою втручання в роботу АС було незаконне ознайомлення з інформа цією, яка в ній обробляється чи зберігається;
3) за іншими статтями КК, які передбачають відповідальність за злочини, спосіб вчинення яких може виражатись в незаконному втручанні в роботу АС, наприклад, як розкрадання майна, виготовлення з метою збуту чи використання підроблених недержавних цінних паперів (ч. З чи ч. 4 ст. 148 КК).
Розповсюдження програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи і здатних спричинити перекручення або знищення інформації чи носіїв інформації, відноситься до формальних складів злочинів, оскільки об'єктивна сторона цього злочину виражається в самих діях, незалежно від того, спричинили вони чи ні наслідки у вигляді перекручення або знищення інформації чи носіїв інформації.
Під втручанням у роботу АС законодавець пропонує розуміти будь-які дії винного, що впливають на обробку АС інформації, яка в ній зберігається, або яка вводиться чи передається для обробки в АС, тобто дії, що впливають на всю сукупність операцій (зберігання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація), що здійснюються за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних. При втручанні в роботу АС здійснюється порушення її роботи, яке спричиняє спотворення процесу обробки інформації, внаслідок чого перекручується або знищується сама інформація чи її носії.
Знищення інформації — це її втрата, коли інформація в АС перестає існувати для фізичних і юридичних осіб, які мають право власності на неї в повному чи обмеженому обсязі. Як знищення, втрату інформації треба розглядати і її блокування, тобто припи нення доступу до інформації користувачам АС. Втручання в роботу АС може бути і в формі впливу на канали передачі інформації як між технічними засобами їх обробки і зберігання всередині АС, так і між окремими АС, внаслідок чого інформація, що передається для обробки, знищується чи перекручується. Такі дії можуть виража тись, наприклад, в електромагнітному, лазерному і іншому впливі на носії інформації, в яких вона матеріалізується, або по яких вона передається; в формуванні сигналів полів засобів і блоків програм, вплив яких на інформацію, її носії і засоби технічного захисту викликає порушення цілісності інформації, її знищення чи спот ворення; у включенні до бібліотек програм спеціальних програм них блоків, зміни програмного забезпечення і інших подібних діях, що призводять до порушення цілісності інформації.
Перекручення інформації — це зміна її змісту, порушення її цілісності, в тому числі і часткове знищення.
Під розповсюдженням програмних і технічних засобів, при значених для незаконного проникнення в АС і здатних спричинити перекручення або знищення інформації чи носіїв інформації треба розуміти:
1) їх передачу будь-яким способом і на будь-яких підставах (продаж, дарування, обмін, надання можливості скопіювати тощо) з метою їх використання для несанкціонованого досту пу до інформації особами, які згідно з правилами розмежування доступу до інформації, встановленими власником інформації чи уповноваженою ним особою, не мають права доступу до такої інформації;
2) їх "закладку" в АС на стадії її виготовлення, ремонту, реалізації, користування з метою використання в майбут ньому для здійснення несанкціонованого доступу до інформації;
3) ознайомлення інших осіб із змістом програмних засобів чи технічними характеристиками або технологією виготовлення та використання технічних засобів для незаконного проникнення в АС.
Програмні засоби, призначені для незаконного проникнення в АС, — це спеціальні комп'ютерні програми (програмні блоки, програмне забезпечення), з допомогою яких можна здійснити несанкціонований доступ до інформації, яка зберігається чи оброб ляється в АС, і які здатні спотворити або знищити інформацію (її носії) шляхом спотворення процесу обробки інформації.
Технічні засоби, призначені для незаконного проникнення в АС, — це різного роду прилади, обладнання, устаткування тощо, з допомогою яких можливе або безпосереднє під"єднання до АС чи каналів передачі даних, або які здатні шляхом формування сигналів, полів, середовищ створити умови для несанкціонованого доступу до інформації з метою ознайомлення з такою інформацією особами, які не мають права доступу до неї, або з метою впливу на процес обробки інформації в АС, порушення роботи АС, перекручення або знищення інформації чи її носіїв.
Обов'язковою ознакою (властивістю) програмних і технічних засобів, призначених для незаконного проникнення в АС, для визнання їх предметом коментованого злочину, є їх здатність впливати на процес обробки інформації, його спотворення, в результаті чого інформація (її носії) може бути знищена чи перекручена. Якщо ж такі засоби за своїми технічними характе ристиками не мають такої властивості, їх розповсюдження складу злочину, передбаченого ст. 198( не утворює. Використання таких програмних і технічних засобів, наприклад, для незаконного оз найомлення з інформацією, яка обробляється чи зберігається в АС, може кваліфікуватися за статтями 56, 57 чи 148.
Суб'єктом злочину може бути будь-яка фізична осудна особа, що досягла 16-річного віку. Ним можуть бути і особи з персоналу АС — фізичні особи, яких власник АС чи уповнова жена ним особа чи розпорядник АС визначили для здійснення функцій управління та обслуговування АС, і сторонні особи.
Суб'єктивна сторона злочинів, передбачених ч. І ст. 198(, характеризується умислом щодо вчинюваних винним дій, а пси хічне відношення винного до наслідків у вигляді перекручення чи знищення інформації або її носіїв може характеризуватись як прямим чи непрямим умислом, так і необережністю в обох видах. При розповсюдженні програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи, умисел лише прямий, оскільки суб'єктивну сторону цього злочину визна чає психічне відношення винного до вчинюваних ним дій. Мотиви і мета вчинення злочинів можуть бути різними і свідчити про те, що робота автоматизованої системи порушена, наприклад, з метою вчинення інших злочинів.
В ч. 2 ст. 198( передбачена відповідальність за два кваліфікованих склади злочинів:
2) вчинення злочину повторно;
3) вчинення злочину за попереднім зговором групою осіб.
Проведений аналіз стану чинного українського законодавства з питань правового регулювання відносин, пов’язаних з використанням ЕОТ, взагалі та засобів кримінально-правової охорони зокрема з усією наочністю викриває його недосконалість та невисокий рівень розробленості.
Вражає, насамперед, надзвичайно вузьке коло діянь, що визначаються суспільно небезпечними, отже є кримінально карними, недостатньо точне та повне визначення термінів, використаних при формулюванні диспозиції. Також, незрозумілою лишається ідея законодавця об’єднати однією статтею такі різні за рівнем суспільної небезпечності дії, як “умисне втручання в роботу автоматизованих систем” та “розповсюдження програмних і технічних засобів, призначених для незаконного проникнення до автоматизованих систем”, а також, встановлення для такого специфічного виду злочинних дій ортодоксальних кваліфікуючих ознак.
Все це переконливо вказує на термінову необхідність реформування даного розділу кримінального законодавства.
6.Політика безпеки
Аналіз стану справ в галузі інформаційної безпеки показує, що в провідних країнах склалися цілком сформовані концепції та інфраструктура систем захисту інформації, основу якої складають:
- розвинутий арсенал технічних засобів захисту, створюваних на промисловій основі;
- значне число установ, що спеціалізуються на вирішенні питань захисту інформації;
- достатньо чітко окреслена система концептуальних поглядів на проблему інформаційної безпеки;
- наявність значного практичного досвіду.
І, тим не менше, як свідчить реальність, зловмисні дії над інформацією не тільки не зменшуються, а мають достатньо стійку тенденцію до зростання.
Досвід показує, що для боротьби з цією тенденцією необхідна струнка і цілеспрямована організація забезпечення безпеки інформаційної системи.
Причому в цьому повинні активно брати участь професійні фахівці, адміністрація, співробітники і користувачі інформаційних систем (ІС), все це визначає підвищену значимість організаційної сторони питання.
Сучасний досвід також показує, що:
- забезпечення безпеки інформаційних систем (ІС) це безперервний процес, що полягає в обгрунтуванні і реалізації найбільш раціональних засобів і шляхів вдосконалення та розвитку системи інформаційної безпеки, безперервному контролі, виявленні потенційно можливих каналів витоку інформації та НСД;
- безпека інформації може бути забезпечена лише при комплексному використанні всього арсеналу наявних засобів захисту в усіх структурних елементах виробництва і на всіх етапах технологічного циклу обробки інформації. Найбільший ефект досягається тоді, коли всі засоби, що використовуються об'єднуються в єдиний, цілісний механізм - систему інформаційної безпеки (СІБ). При цьому функціонування механізмів захисту повинно контролюватися, оновлюватися і доповнюватися в залежності від зміни з урахуванням можливих внутрішніх умов, внутрішніх і зовнішніх загроз;
- жодна СІБ не може забезпечити необхідного рівня безпеки інформації без належної підготовки користувачів і дотримання ними всіх встановлених правил збереження конфіденційності.
З врахуванням накопиченого досвіду можна визначити СІБ як сукупність спеціальних засобів, методів і заходів, що забезпечують захист інформації від розголошення, витоку і несанкціонованого доступу до неї.
З позиції системного підходу до захисту інформації необхідно дотримуватись певних вимог. Захист інформації повинен бути:
1. Безперервним. Ця вимога виходить з того, що зловмисники тільки і шукають можливість, щоб обминути захист інформації, яка цікавить їх.
2. Плановим. Планування здійснюється шляхом розробки кожною службою, відділом, напрямом детальних планів захисту інформації в сфері їх компетенції з урахуванням загальної мети органів, служб, підрозділів.
3. Централізованим. В рамках певної структури повинен забезпечуватися організаційно-функціональною самостійністю процесу забезпечення безпеки.
4. Конкретним. Захисту підлягають конкретні дані, які об'єктивно потребують охорони і які можуть завдати певних проблем в тому випадку, коли ними заволодіють зловмисники.
5. Активним. Захищати інформацію необхідно з достатнім ступенем наполегливості і цілеспрямованості.
6. Надійним. Методи і засоби захисту повинні надійно перекривати можливі канали витоку інформації і протидіяти засобам несанкціонованого доступу незалежно від форми подання інформації, мови її вираження і вигляду носія, на якому вона закріплена.
7. Цілеспрямованим. Захищається те, що повинно захищатися в інтересах конкретної мети, а не все підряд.
8. Універсальним. Вважається, що в залежності від вигляду каналу витоку або НСД, його необхідно перекрити, де б він не виявився, розумними і достатніми засобами, незалежно від характеру, форми і вигляду інформації.
9. Комплексним. Для захисту інформації у всій різноманітності структурних елементів ІС і каналів витоку інформації повинні застосовуватися всі види і форми забезпечення безпеки в повному обсязі. Неприпустимо застосовувати окремі форми або технічні засоби. Комплексний характер захисту виходить з того, що специфічне явище являє собою складну систему нерозривно взаємопов’язаних процесів, кожен з яких, в свою чергу, обумовлюється один одним.
Для забезпечення виконання таких багатогранних вимог безпеки СІБ повинна задовольняти такими умовам:
- охоплювати технологічний комплекс інформаційної діяльності підприємства;
- бути різноманітною за засобами, які використовуються, багаторівневою та з ієрархічною послідовністю доступу до інформації;
- бути відкритою для зміни і доповнення заходів забезпечення безпеки інформації;
- бути нестандартною, різноманітної, при виборі засобів не можна розраховувати на необізнаність зловмисників відносно їх можливостей;
Засоби системи СІБ повинні бути прості для технічного обслуговування і зручні для експлуатації користувачів.
СІБ повинна відповідати таким вимогам:
- чіткість визначення повноважень і прав користувачів на доступ до певних видів інформації;
- надання користувачу мінімальних повноважень, необхідних для виконання дорученої роботи;
- зведення до мінімуму числа загальних для декількох користувачів засобів захисту;
- врахування випадків і спроб несанкціонованого доступу до конфіденційної інформації;
- забезпечення оцінки ступеню конфіденційності інформації;
- забезпечення контролю цілісності засобів захисту і негайне реагування на їхній вихід з ладу.
Система інформаційної безпеки (СІБ), як і будь-яка система, повинна мати певні види власного забезпечення, спираючись на те, що вона буде здатна виконати свою цільову функцію. З урахуванням цього СІБ повинна мати:
Правове забезпечення. Сюди входять правові документи, нормативні акти, положення, інструкції, керівництва, вимоги, що є обов'язковими в рамках їхньої сфери дій.
Організаційне забезпечення. Реалізація інформаційної безпеки здійснюється спеціальними структурними одиницями, такими, наприклад, як служба технічного захисту інформації, а також режимними підрозділами, охорони та ін.
Інформаційне забезпечення. Воно включає в себе відомості, дані, показники, параметри, що лежать в основі вирішення завдань, які забезпечують функціонування СІБ. Сюди можуть входити як показники доступу,
23.09.2012 15:09-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора