Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
ПРОЕКТ КОМПЛЕКСНОЇ СИСТЕМИ ЗАХИСТУ ВИДАВНИЦТВА «ГЛЯНЕЦЬ»
Інформація про навчальний заклад
ВУЗ:
Львівський державний університет безпеки життєдіяльності
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Управління інформаційною безпекою
Інформація про роботу
Рік:
2012
Тип роботи:
Інші
Предмет:
Проектування комплексних систем захисту інформації
Група:
ІБ – 41
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ І НАУКИ, МОЛОДІ ТА СПОРТУ УКРАЇНИ
Львівський державний університет безпеки життєдіяльності
Інститут цивільного захисту
Кафедра управління
інформаційною безпекою
ПРОЕКТ КОМПЛЕКСНОЇ СИСТЕМИ ЗАХИСТУ
ВИДАВНИЦТВА «ГЛЯНЕЦЬ»
З дисципліни «Проектування комплексних систем захисту інформації»
Львів – 2012
План
Розділ 1. ОПИС ОБ’ЄКТА ЗАХИСТУ 3
1.1. Опис роботи видавництва 3
1.2. Опис території об’єкта захисту 3
1.3. Опис будівлі об’єкта захисту (план) 4
1.4. Опис персоналу об’єкта захисту 5
1.5. Опис системи життєзабезпечення об’єкта захисту 5
1.5.1. Схема система електроживлення та заземлення 5
1.5.2. Схема системи водопостачання та водовідведення 6
1.5.3. Схема системи опалення 6
1.5.4. Схема основних технічних засобів 7
Розділ 2. ОПИС ТА АНАЛІЗ ЗАГРОЗ 8
2.1. Опис загроз території об’єкта 8
2.2. Опис загроз будівлі об’єкта 8
2.3. Опис загроз системи електропостачання та заземлення 9
2.4. Опис моделі водопостачання та водовідведення 10
2.5. Опис загроз системи опалення 10
2.6. Опис загроз основних технічних засобів 11
Розділ 3. ПОБУДОВА МОДЕЛІ ПОРУШНИКА 12
Розділ 4. ПОЛІТИКА БЕЗПЕКИ ОБ’ЄКТА ЗАХИСТУ 18
4.1. Застосування різних ПБ 18
4.2. Категоріювання 20
Розділ 5. ПОБУДОВА МОДЕЛІ ЗАХИСТУ 21
5.1. Організаційні засоби захисту 21
5.2. Технічні засоби захисту 24
5.3. Модель захисту 25
ВИСНОВОК 29
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 30
Додаток А. Акт категоріювання 31
Розділ 1. ОПИС ОБ’ЄКТА ЗАХИСТУ
1.1. Опис роботи видавництва
Назва досліджуваного об’єкту – Видавництво «Глянець».
Видавництво займається широкоформатним друком (інтер’єрний та наружний), цифровий друком А4 - А3, тиражування різографом, після друкарська обробка. У видавництві циркулюють документи з конфіденційними даними.
Організація роботи видавництва «Глянець».
Графік роботи : з 9:00 до 18.00
обідня перерва : з 13:00 до 14:00
Вихідні дні –субота, неділя.
Охорона об’єкта здійснюється цілодобово.
1.2. Опис території об’єкта захисту
Контрольно-пропускний пункт (КПП) основний вхід на територію Видавництва «Глянець», приміщення видавництва, яке знаходиться на межі контрольованої зони; люк водовідведення, люк водопостачання, трансформаторна підстанція, заземлення, стоянка автомобілів працівників, по контору будівлі проведено паркан.
Приміщення знаходиться на першому поверсі. Конференц зал (кімната 1) має 3 вікна, одне з яких виходять на побічну, а 2 – на місце для забудови. Поліграфічний центр містить 1 вікно, яке виходить на бічну дорогу. Кімната відпочинку теж містить 1 вікно, виходять до побічної дороги. Бухгалтерія містить 3 вікна, два з яких виходять на автостоянку, а третє на бічну дорогу. Санітарний вузол має 2 вікна одне з виходом у внутрішній двір, а друге з виходом на головну дорогу. Кабінет редакторів та кабінет директора видавництва мають по одному вікні (вони виходять до головної дороги). На всіх вікнах встановлені жалюзі. Всього у приміщені є 13 вікон. Приміщення видавництва – це коридор і 7 кімнат , розташованих в дві лінії. Це цегляний будинок і приміщення видавництва знаходиться на першому поверсі.
У кожне внутрішнє приміщення видавництва, веде по одній двері, крім поліграфії, у якій є двоє дверей. Всі двері двостулкові. Двері дерев’яні, з вогнетривким покриттям. Зовнішні двері посилені металом. На дверях встановлені механічні замки, а двері у видавництво містять кодові замки, всі ключі є у директора видавництва, у головного редактора і начальника СБ. У неробочий час усі ключі здаються на КПП. На всіх дверях встановлена сигналізація, яка відключається з КПП. Кількість дверей – 10.
Сусідні приміщення: на півдні – науковий центр по дослідженню напівпровідникових матеріалів, на заході – місце під забудову, з півночі – бічна дорога, а зі сходу – на головна дорога.
Проводка виконана приховано – в стінах і над підвісною стелею. Системи освітлення – люмінесцентні лампи. Їх загальна кількість – 21. У приміщенні видавництва – 11 розеток. Заземлення проходить по периметру всього видавництва уздовж її стін.
Труби опалення проходять по всьому периметру видавництва, включаючи вихід до КПП. Загальна кількість – 14 батарей.
Захист інформації в даному видавництві особливо важливий, так як тут видається багато авторських книг та художньої літератури, захист авторських прав є серйозною справою, яка має юридичне підгрунття та передбачає адміністративну та кримінальну відповідальність.
1.3. Опис будівлі об’єкта захисту (план)
Рис. 1.1. План будівлі об’єкта захисту
1.4. Опис персоналу об’єкта захисту
Кількість працівників – 19
Директор видавництва – 1
Головний редактор - 1
Редактори – 3
Бухгалтера – 3
Співробітник СБ – 5
Інженер з техобслуговування поліграфічного обладнання - 2
Секретар – 1
Технічний персонал:
Прибиральник – 1
Технік – 1
Електрик -1
1.5. Опис системи життєзабезпечення об’єкта захисту
Схема система електроживлення та заземлення
Рис. 1.2. Схема система електроживлення та заземлення
Схема системи водопостачання та водовідведення
Рис. 1.3. Схема системи водопостачання та водовідведення.
1.5.3. Схема системи опалення
Рис. 1.4. Схема системи опалення.
1.5.4. Схема основних технічних засобів
Рис. 1.5. Схема основних технічних засобів.
Розділ 2. ОПИС ТА АНАЛІЗ ЗАГРОЗ
2.1. Опис загроз території об’єкта
За рахунок огорожі можливі такі канали витоку інформації:
фізичне проникнення ( тобто несанкціонований доступ на територію сторонніх осіб);
знищення інформації, засобів її обробки та збереження, за допомогою використання електромагнітних імпульсів;
пошкодження об’єкту захисту (вибухівка).
За рахунок контрольно пропускного пункту можливі такі канали витоку інформації:
фізичне проникнення ( тобто несанкціонований доступ в приміщення сторонніх осіб);
вербування працівників ( тобто можливий підкуп).
За рахунок автостоянки працівників можливі такі канали витоку інформації:
віброакустичний канал витоку інформації, одержання інформації по віброакустичному каналу з використанням лазерних пристроїв для зняття інформації , тобто відбиваюча властивість поверхні скла і можливість лазерного прослуховування ( також можливе монтування в машині) ;
візуальний канал ( тобто монтаж відео - пристроїв на авто працівників);
пошкодження об’єкту захисту(вибухівка).
2.2. Опис загроз будівлі об’єкта
За рахунок стін, стель, підлог, перекриття можливі такі канали витоку інформації:
віброакустичний канал витоку інформації, тобто розповсюдження в твердому матеріалі віброакустичного сигналу;
канал побічного електромагнітного випромінювання, тобто одержання інформації по каналу через основні технічні засоби (пристрої наочного відображення, системні блоки, периферійна апаратура, апаратура зв’язку, лінії зв’язку, кабелі); паразитні електромагнітні наводки, тобто канал витоку можливий через одержання інформації по каналу паразитних наведень у системах каналізації, у мережах теплопостачання, у системах вентиляції, в шинах заземлення, в мережах живлення, в колах телефонізації;
фізичне проникнення (воно можливе переважно через тонкостінні міжкімнатні перегородки, стіни), тобто несанкціонований доступ в приміщення сторонніх осіб.
За рахунок вікон ( у приміщенні 13 вікон, які приблизно одинакові за розміром ) можливі такі канали витоку інформації:
візуальний канал, тобто перегляд приміщення сторонніми особами;
віброакустичний канал витоку інформації, одержання інформації по каналу з використанням лазерних пристроїв для зняття інформації , тобто відбиваюча властивість поверхні скла і можливість лазерного прослуховування;
фізичне проникнення ( тобто несанкціонований доступ в приміщення сторонніх осіб).
За рахунок дверей (у приміщенні 10 дверей) можливі такі канали витоку інформації:
фізичне проникнення ( тобто несанкціонований доступ в приміщення сторонніх осіб);
візуальний канал, тобто перегляд приміщення сторонніми особами;
віброакустичний канал витоку інформації, одержання інформації по каналу з використанням лазерних пристроїв для зняття інформації , тобто відбиваюча властивість поверхні скла і можливість лазерного прослуховування.
2.3. Опис загроз системи електропостачання та заземлення
За рахунок мережі електроживлення можливі такі канали витоку інформації ( від трансформаторної підстанції у приміщення проведена мережа 220В, з виведеними розетками, вимикачами, а також пристроями освітлення):
канал побічного електромагнітного випромінювання, тобто одержання інформації по каналу через основні технічні засоби (пристрої наочного відображення, системні блоки, периферійна апаратура, апаратура зв’язку, лінії зв’язку, кабелі);
паразитні електромагнітні наводки, тобто канал витоку можливий через одержання інформації по каналу паразитних наведень у системах каналізації, у мережах теплопостачання, у системах вентиляції, в шинах заземлення, в мережах живлення, в колах телефонізації;
пошкодження, тобто можливий вивід з ладу мережі електроживлення (тобто можливе коротке замикання);
електроакустичний канал витоку інформації, тобто одержання інформації через під’єднання пристроїв для зняття інформації;
За рахунок проводів заземлення можливі такі канали витоку інформації:
канал побічного електромагнітного випромінювання, тобто одержання інформації по каналу через основні технічні засоби (пристрої наочного відображення, системні блоки, периферійна апаратура, апаратура зв’язку, лінії зв’язку, кабелі);
паразитні електромагнітні наводки, тобто канал витоку можливий через одержання інформації по каналу паразитних наведень у системах каналізації, у мережах теплопостачання, у системах вентиляції, в шинах заземлення, в мережах живлення, в колах телефонізації;
прямий доступ, тобто витік інформації може здійснюватися за рахунок персоналу, що обслуговує.
За рахунок трансформаторної підстанції можливі такі канали витоку інформації:
канал побічного електромагнітного випромінювання, тобто одержання інформації по каналу через основні технічні засоби (пристрої наочного відображення, системні блоки, периферійна апаратура, апаратура зв’язку, лінії зв’язку, кабелі);
пошкодження, тобто можливий вивід з ладу мережі електроживлення ( тобто можливе коротке замикання); прямий доступ, тобто витік інформації може здійснюватися за рахунок персоналу, що обслуговує філію інформаційно – аналітичного центру соціологічних досліджень.
Для захисту від передачі інформації через лінію електромережі використовуються:
фільтри;
джерела шуму з діапазоном частот 50кГц - 300кГц.
До додаткових заходів відносяться:
демонтаж всіх недіючих електричних кабелів;
встановлення у мережі водопостачання та теплопостачання діелектричних муфт;
контроль оперативної обстановки біля офісу (охорона, встановлення камер).
2.4. Опис моделі водопостачання та водовідведення
Середовищем поширення акустичних хвиль є труби опалення і водопостачання. Акустична інформація може, наприклад, сприйматися за допомогою п'єзоелектричних датчиків, потім посилюватися і фіксуватися за допомогою магнітофонів або передаватися в ефір.
За рахунок систем водопостачання можливі такі канали витоку інформації:
віброакустичний канал витоку інформації, тобто одержання інформації по каналу з використанням лазерних пристроїв для зняття інформації;
паразитні електромагнітні наводки, тобто канал витоку можливий через одержання інформації по каналу паразитних наведень у системах каналізації, у мережах теплопостачання, у системах вентиляції, в шинах заземлення, в мережах живлення, в колах телефонізації;
відключення, пошкодження, тобто можливий вивід з ладу систем водопостачання;
За рахунок систем каналізації можливі такі канали витоку інформації:
віброакустичний канал витоку інформації, тобто одержання інформації по каналу з використанням лазерних пристроїв для зняття інформації ( також розповсюдження акустичних сигналів вздовж труб);
паразитні електромагнітні наводки, тобто канал витоку можливий через одержання інформації по каналу паразитних наведень у системах каналізації, у мережах теплопостачання, у системах вентиляції, в шинах заземлення, в мережах живлення, в колах телефонізації; пошкодження, тобто можливий вивід з ладу систем каналізації.
Прямий доступ, тобто витік інформації може здійснюватися за рахунок персоналу, що обслуговує філію інформаційно – аналітичного центру соціологічних досліджень.
2.5. Опис загроз системи опалення
За рахунок систем опалення можливі такі канали витоку інформації:
віброакустичний канал витоку інформації, тобто одержання інформації по каналу (розповсюдження акустичних сигналів вздовж труб та батарей ) з використанням лазерних пристроїв для зняття інформації (тобто віброакустична властивість поверхні системи опалення і можливість акустичного прослуховування);
паразитні електромагнітні наводки, тобто канал витоку можливий через одержання інформації по каналу паразитних наведень у системах каналізації, у мережах теплопостачання, у системах вентиляції, в шинах заземлення, в мережах живлення, в колах телефонізації;
пошкодження, тобто можливий вивід з ладу систем опалення (руйнування системи опалення);
прямий доступ, тобто витік інформації може здійснюватися за рахунок персоналу, що обслуговує.
2.6. Опис загроз основних технічних засобів
За рахунок телефонних апаратів:
властивості елементів конструкції апаратів перетворювати акустичні сигнали в електромагнітні як мовного (мікрофонний ефект), так і радіодіапазону (автогенерація);
властивості елементів конструкції апаратів перетворювати акустичні сигнали в електромагнітні як мовного (мікрофонний ефект), так і радіодіапазону (автогенерація) за умов цілеспрямованого стороннього вплив;
стороннього впливу на елементи конструкції апаратів, чутливі до електричних чи магнітних полів, з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч;
випромінювання електромагнітних сигналів, які потім могуть перехоплюватись випадковими антенами;
випромінювання акустичних сигналів.
За рахунок комп’ютерної техніки:
несанкціонований доступу до оперативної пам’яті чи накопичувачів комп’ютера;
випромінювання електромагнітних сигналів, які потім можуть перехоплюватись випадковими антенами;
перегляду сторонніми особами зображення на моніторі;
спостереження сторонніми особами за роботою з клавіатурою.
За рахунок систем охоронної та пожежної сигналізації:
властивості елементів конструкції пристроїв перетворювати акустичні сигнали в електромагнітні з подальшим передаванням колами електроживлення або керування;
стороннього впливу на елементи конструкції пристроїв, чутливі до електричних чи магнітних полів, з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч;
властивості елементів конструкції апаратів перетворювати акустичні сигнали в електромагнітні радіодіапазону (автогенерація).
Розділ 3. ПОБУДОВА МОДЕЛІ ПОРУШНИКА
Порушник - це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Категорії порушників
Поділимо спочатку порушників на дві групи: зовнішні і внутрішні порушники. Серед зовнішніх порушників виділимо такі:
добре озброєна оснащена силова група, що діє ззовні швидко і напролом;
поодинокий порушник, що не має допуску на об’єкт і намагається діяти потайки.
Серед потенційних внутрішніх порушників можна відзначити:
допоміжний персонал об’єкта, що допущений на об’єкт, але не допущений до життєво важливого центру АС;
основний персонал, що допущений до АС ;
співробітники служби безпеки, які часто формально і не допущені до АС, але реально мають достатньо широкі можливості для збору необхідної інформації і вчинені акції.
Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.
Під час розробки моделі порушника визначаються:
припущення щодо категорії осіб, до яких може належати порушник;
припущення щодо мотивів дій порушника (цілей, які він переслідує);
припущення щодо рівня кваліфікації та обізнаності порушника та його технічної оснащеності (щодо методів та засобів, які використовуються при здійсненні порушень);
обмеження та припущення щодо характеру можливих дій порушників (за часом та місцем дії та інші).
Таблиця 3.1.
Модель порушника
Побудова моделі порушника
Внутрішні порушники:
Зовнішні порушники:
прибиральник, електрик, сантехнік, секретар (1)
особи, що знаходяться за межами контрольованої зони (1)
інженер з техобслуговування поліграфічного обладнання (2)
представники організацій, що взаємодіють з питань технічного обслуговування (2)
бухгалтера, редактори (3)
хакер (3)
головний редактор, директор видавництва, співробітники СБ (4)
співробітники спецслужб або особи, які діють зі їх завданням (4)
Мотиви
Мета
Рівень знань
Рівень кваліфікації
За часом дії
За місцем дії
Прибиральник
необізнаність, самоствердження
Отримання необхідної інформації в необхідному обсязі та асортименті
Знає функціональні особливості системи, має навички щодо користування засобами системи
Використовує лише агентурні методи одержання відомостей, використовує пасивні засоби
Під час бездіяльності компонентів системи (в неробочій час, під час планових перерв у роботі, перерв для обслуговування і ремонту і т.д.)
З робочих місць користувачів, з доступом у зони даних, усередині приміщень, але без доступу до технічних засобів АС
Електрик
Необізнаність, корисливий інтерес
Отримання необхідної інформації в необхідному обсязі та асортименті
Знає функціональні особливості системи, має навички щодо користування засобами системи
Використовує лише агентурні методи одержання відомостей, використовує пасивні засоби
До впровадження АС або її окремих компонентів, під час бездіяльності компонентів системи (в неробочій час, під час планових перерв у роботі, перерв для обслуговування і ремонту і т.д.)
З робочих місць користувачів, з доступом у зони даних, усередині приміщень, але без доступу до технічних засобів АС
Технік
Необізнаність, корисливий інтерес
Отримання необхідної інформації в необхідному обсязі та асортименті
Знає функціональні особливості системи, має навички щодо користування засобами системи
Використовує лише агентурні методи одержання відомостей, використовує пасивні засоби
Під час бездіяльності компонентів системи (в неробочій час, під час планових перерв у роботі, перерв для обслуговування і ремонту і т.д.)
З робочих місць користувачів, з доступом у зони даних, усередині приміщень, але без доступу до технічних засобів АС
Секретар
Необізнаність, корисливий інтерес, самоствердження
Отримання необхідної інформації в необхідному обсязі та асортименті
Знає функціональні особливості системи, має навички щодо користування засобами системи
Використовує лише агентурні методи одержання відомостей, використовує пасивні засоби
Під час бездіяльності компонентів системи (в неробочій час, під час планових перерв у роботі, перерв для обслуговування і ремонту і т.д.)
З робочих місць користувачів, з доступом у зони даних, усередині приміщень, але без доступу до технічних засобів АС
Інженер з техобслуговування поліграфічного обладнання
Корисливий інтерес
Внесення змін в інформаційні потоки, відповідно до своїх намірів, знищення матеріалів та інформаційних цінностей
Володіє високим рівнем знань та практичними навичками роботи з технічними засобами системи та їх обслуговування, володіє високим рівнем знань у галузі програмування та обчислювальної техніки, проектування та експлуатації автоматизованих інформаційних систем
Використовує пасивні засоби (технічні засоби переймання без модифікації компонентів системи)
Під час бездіяльності компонентів системи (в неробочій час, під час планових перерв у роботі, перерв для обслуговування і ремонту і т.д.), під час функціонування АС (або компонентів системи)
З робочих місць користувачів, з доступом у зони даних, усередині приміщень, але без доступу до технічних засобів АС, З робочих місць користувачів (операторів) АС
Редактори
Корисливий інтерес
Внесення змін в інформаційні потоки, відповідно до своїх намірів
Володіє високим рівнем знань та практичними навичками роботи з технічними засобами системи та їх обслуговування, знає структуру, функції й механізми дії засобів захисту, їх недоліки
Використовує лише штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути приховано пронесено крізь охорону
Під час функціонування АС (або компонентів системи)
З доступом у зони даних (баз даних, архівів й т.ін.)
Бухгалтера
Корисливий інтерес, професійний обов’язок
Внесення змін в інформаційні потоки, відповідно до своїх намірів, знищення матеріалів та інформаційних цінностей
Знає структуру, функції й механізми дії засобів захисту, їх недоліки, знає недоліки та “вади” механізмів захисту, які вбудовані у системне програмне забезпечення та його не документовані можливості
Використовує лише штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути приховано пронесено крізь охорону
Під час функціонування АС (або компонентів системи)
З доступом у зони даних (баз даних, архівів й т.ін.)
Співробітник СБ
Корисливий інтерес, професійний обов’язок
Внесення змін в інформаційні потоки, відповідно до своїх намірів, знищення матеріалів та інформаційних цінностей
Знає структуру, функції й механізми дії засобів захисту, їх недоліки, знає недоліки та “вади” механізмів захисту, які вбудовані у системне програмне забезпечення та його не документовані, є розробником програмних та програмно-апаратних засобів захисту або системного програмного забезпечення
Використовує лише штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути приховано пронесено крізь охорону, застосовує методи та засоби дистанційного (з використанням штатних каналів та протоколів зв’язку) упровадження програмних закладок та спеціальних резидентних програм збору, пересилання або блокування даних, дезорганізації систем обробки інформації.
Під час функціонування АС (або компонентів системи), як у процесі функціонування АС, так і під час призупинки компонентів системи
З доступом у зони даних (баз даних, архівів й т.ін.), з доступом у зону керування засобами забезпечення безпеки АС
Головний редактор
Корисливий інтерес
Внесення змін в інформаційні потоки, відповідно до своїх намірів, знищення матеріалів та інформаційних цінностей
Володіє високим рівнем знань та практичними навичками роботи з технічними засобами системи та їх обслуговування, знає структуру, функції й механізми дії засобів захисту, їх недоліки
Застосовує методи та засоби дистанційного (з використанням штатних каналів та протоколів зв’язку) упровадження програмних закладок та спеціальних резидентних програм збору, пересилання або блокування даних, дезорганізації систем обробки інформації.
Як у процесі функціонування АС, так і під час призупинки компонентів системи
З доступом у зони даних (баз даних, архівів й т.ін.), з доступом у зону керування засобами забезпечення безпеки АС
Директор видавництва
Корисливий інтерес,
Внесення змін в інформаційні потоки, відповідно до своїх намірів, знищення матеріалів та інформаційних цінностей
Володіє високим рівнем знань та практичними навичками роботи з технічними засобами системи та їх обслуговування, знає структуру, функції й механізми дії засобів захисту, їх недоліки
Застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передачі даних).
Як у процесі функціонування АС, так і під час призупинки компонентів системи
З доступом у зони даних (баз даних, архівів й т.ін.), з доступом у зону керування засобами забезпечення безпеки АС
Розділ 4. ПОЛІТИКА БЕЗПЕКИ ОБ’ЄКТА ЗАХИСТУ
4.1. Застосування різних ПБ
Під ПБ інформації слід розуміти набір законів, правил, обмежень і рекомендацій, які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз.
Політика безпеки буває:
дискреційна;
мандатна;
рольова.
Політика безпеки розповсюджується на всі аспекти життєдіяльності видавництва «Глянець» та застосовується до активів організації, які можуть справляти матеріальний ефект на кінцевий продукт своєю відсутністю чи псуванням.
Дискреційна політика безпеки. Основою дискреційної політики безпеки є дискреційне управління доступом, яке визначається двома властивостями:
усі суб'єкти й об'єкти мають бути однозначно ідентифіковані;
права доступу суб'єкта до об'єкта системи визначаються на основі певних зовнішніх відносно системи правил.
Область застосування: контрольно-пропускний пункт (КПП):
всі відвідувачі проходять процедуру ідентифікації. Дата та час реєструється в системному журналі на КПП;
дата та час приходу працівників на роботу та залишення контрольованої території реєструється в системному журналі на КПП;
в обов’язки вартового входить огляд автомобіля, щоб унеможливити ввезення в зону безпеки вибухових речовин;
КПП обладнаний засобами для відслідковування сторонніх випромінювань, з метою унеможливлення проносу на територію об’єкту різного роду підслуховуючих пристроїв;
працівники КПП отримують хорошу заробітню плату ;
ретельно вибирається працівники (це повинні бути надійні особи);
періодично перевіряється та контролюється робота працівників.
Рольова політика безпеки. Керування доступом у РПБ здійснюється як на основі матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувачам та їх активацію під час сеансів.
При використанні РПБ керування доступом здійснюється в дві стадії:
для кожної ролі вказується набір повноважень, що являють собою набір прав до об’єктів;
кожному користувачеві призначається список доступних йому ролей.
Область застосування: комп'ютерна система (КС) та комп’ютерна мережа (КМ).
працівники отримують персональні права доступу до КС, права на користування програмним забезпеченням, доступ до мережі та її ресурсів, які відповідають вимогам, правам та обов’язкам працівників;
працівники повинні зберігати в таємниці свій код доступу;
при введенні КС в експлуатацію слід ретельно перевіряється її роботоздатність, виникнення помилок та безпека;
при втраті чи розголошенні персонального коду доступу слід негайно повідомити про це адміністратора;
конфігурування системи та мереж здійснюється при відсутності в приміщенні будь-якого персоналу (крім працівників СБ);
користувачі не мають доступ до робочих програм конфігурування роботи системи та мережі;
працівникам забороняється особисто вирішувати проблеми, які виникли при роботі системи;
при виникненні проблем при роботі з КС слід повідомити про це адміністратора;
встановленням, конфігурування, перевіркою та оновленням програмного забезпечення займається тільки адміністратор;
всі дії в КС автоматично реєструються в системному журналі;
при адмініструванні КС та КМ строго дотримуються функції, зазначені в документації продуктів та не виходять за їх рамки;
в разі виникнення технічних проблем слід звертатись до служби технічної підтримки виробника продукту;
регулярно (раз в тиждень) проводиться ретельна перевірка роботоздатності системи для виявлення помилок та несправностей;
для захисту від комп’ютерних вірусів використовуються антивірусні програми; антивірусне програмне забезпечення та вірусні бази регулярно (раз в два-три дні) оновлюються; щодня проводити повну перевірку системи на наявність вірусів та програм «троянський кінь»;
магнітні носії інформації, нове програмне забезпечення, вхідна електронна пошта ретельно перевіряються на зараження вірусами та наявність програм «троянський кінь» перед запуском в КС;
для захисту від зовнішніх атак по мережі використовуються файєрволи, детектори атак, які пройшли всі повірки і сертифікацію. Періодично відбувається їх обновлення;
в разі виникнення нештатних ситуацій та ремонтних робіт вилучаються всі носії інформації з АС та переносяться у недоступне сховище.
Мандатна політика безпеки. Основу МПБ становить мандатне управління доступом, яке запобігає витоку інформації від об’єктів з високим рівнем доступу до об’єктів з низьким рівнем.
МПБ регламентує управління доступом до документації відповідно до рівня секретності який присвоєний керівництвом організації відповідно до службових обов’язків персоналу організації.
Область застосування: комп’ютерна система (КС), організаційна та правова політики:
працівники отримують персональні права доступу до КС, права на користування програмним забезпеченням, доступ до мережі та її ресурсів, які відповідають вимогам, правам та обов’язкам працівників;
коди доступу (паролі) видаються автоматично згідно певних правил (довжина паролю, вміст паролю і т.д.);
періодично паролі змінюються і шифруються;
вхід користувача в систему та вихід з неї повинен реєструється в системному журналі.
4.2. Категоріювання
Категоріюванню підлягають об'єкти, в яких обговорюється, мається, пересилається, приймається, перетворюється, накопичується, обробляється, відображається й зберігається (далі - циркулює) інформація з обмеженим доступом (ІзОД).
До об'єктів, що підлягають категорiюванню, відносяться:
автоматизовані системи (АС) й засоби обчислювальною техніки (ЗОТ), що діють й проектуються;
приміщення, призначені для проведення нарад, конференцій, обговорень тощо з використанням ІзОД;
приміщення, в яких розміщені АС, ЗОТ, інші технічні засоби, призначені для роботи з ІзОД, у тому числи й основані на криптографічних методах захисту.
Категоріювання проводиться з метою вживання обґрунтованих заходів щодо технічного захисту ІзОД, яка циркулює на ОІД, від витоку каналами побічних електромагнітних випромінювань й наводок, а також акустичних (віброакустичних) полів.
Установлюються чотири категорії об'єктів залежно від правового режиму доступу до інформації, що циркулює в них:
до першої категорії відносяться об'єкти, в яких циркулює інформація, що містить відомості, які становлять державну таємницю, для якої встановлено гриф секретності "особливої важливості";
до другою категорії відносяться об’єкти, в яких циркулює інформація, що містить відомості, які становлять державну таємницю, для якої встановлено гриф секретності "цілком таємно";
до третьою категорії відносяться об'єкти, в яких циркулює інформація, що містить відомості, які становлять державну таємницю, для якої встановлено гриф секретності "таємно", а також інформація, що містить відомості, які становлять іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству й державі;
до четвертої категорії відносяться об'єкти, в яких циркулює конфіденційна інформація.
Наше видавництво належить до четвертої категорії об’єктів, в яких циркулює конфіденційна інформація. Оскільки видавництво займається публікацією творів художньої, наукової літератури, публіцистичних та наукових статей для різного роду журналів та газет.
Розділ 5. ПОБУДОВА МОДЕЛІ ЗАХИСТУ
5.1. Організаційні засоби захисту
Організаційні заходи захисту інформації – це комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу і порядку функціонування засобів (систем) забезпечення ІД та засобів (систем) забезпечення ТЗІ.
Оперативне вирішення задач ТЗІ досягається організацією керування системою захисту інформації, для чого необхідно:
вивчати й аналізувати технологію проходження ІзОД у процесі ІД;
оцінювати схильність ІзОД до впливу загроз у конкретний момент часу;
оцінювати очікувану ефективність застосування засобів забезпечення ТЗІ;
визначати (за необхідності) додаткову потребу в засобах забезпечення ТЗІ;
здійснювати збирання, оброблення та реєстрацію даних, які відносяться до ТЗІ;
розробляти і реалізовувати пропозиції щодо коригування плану ТЗІ в цілому або окремих його елементів;
регулярно проводити наради, де варто розглядати питання пов’язані з діями на покращення захисту інформації, визначення основних загроз для інформації та ін.;
всі прийняті рішення стосовно інформаційної безпеки організації повинні узгоджуватись керівником організації;
таємна інформація повинна шифруватись;
необхідно регулярно перевіряти стан систем контролю доступу до приміщень;
при одержанні нових даних інформаційної системи необхідно призначити йому гриф таємності;
періодично проводити перевірку приміщень та території на наявність закладних пристроїв.
Посадові обов'язки директора видавництва:
керує редакційно-видавничої та виробничою діяльністю підрозділу;
організовує редагування та випуск літератури (наукової і методичної, а також інформаційних і нормативних матеріалів);
здійснює контроль за науковим і літературним змістом видань і якістю їх художнього і технічного оформлення;
аналізує стан попиту на продукцію, що випускається з метою забезпечення її конкурентоспроможності на ринку, підвищення рентабельності та прибутковості видань;
з урахуванням запитів споживачів і кон'юнктури ринку складає проекти перспективних і річних планів видання літератури відповідно до тематичними напрямками роботи;
керує розробкою планів редакційно-підготовчих робіт, виробничо-фінансових планів, графіків редакційних і виробничих процесів видання;
здійснює контроль за строками подання рукописів, підготовки їх до набору і обробки коректурних відбитків, за виконанням поліграфічними підприємствами графіків по набору, друку і виготовленню тиражу видання;
організовує своєчасне оформлення видавничих договорів з авторами і договорів (контрактів) із зовнішніми редакторами, рецензентами, художниками та іншими особами, залученими до виконання робіт з видання літератури, укладання договорів і оформлення замовлень на виконання різних поліграфічних і оформлювальних робіт сторонніми організаціями;
контролює правильність підготовки документів по розрахунках за виконані ними роботи, встановлення авторських гонорарів і розмірів оплати позаштатним працівникам;
стверджує номінали і тиражі видань з урахуванням стану і перспектив розвитку ринків їхнього збуту;
готує документи для ліцензування видавничої діяльності;
організовує своєчасне матеріальне забезпечення виробничої діяльності підрозділу, роботу з рекламування та реалізації продукції, що випускається літератури, облік виконання укладених договорів;
аналізує на підставі даних бухгалтерського обліку фінансово-господарську діяльність підрозділу, здійснює заходи щодо скорочення термінів проходження рукописів, економного витрачання коштів при виданні літератури, поліпшення якості поліграфічного виконання;
керує працівниками видавництва, вживає заходів щодо дотримання ними правил внутрішнього трудового розпорядку;
подає пропозиції про заохочення або накладення стягнень на підлеглих працівників, сприяє підвищенню їх кваліфікації.
Керівник підрозділу повинен знати:
законодавчі і нормативні правові акти, керівні матеріали, що визначають основні напрямки відповідної галузі економіки, науки і техніки;
постанови, накази, розпорядження, керівні і нормативні матеріали вищих органів, що стосуються редакційно-видавничої діяльності;
передовий досвід видавничої діяльності аналогічних підприємств, установ, організацій; вітчизняні та зарубіжні досягнення науки і техніки у відповідній галузі знань;
порядок розробки планів видання літератури, графіків редакційних і виробничих процесів видань;
порядок укладення видавничих договорів з авторами, договорів і трудових договорів (контрактів) на виконання поліграфічних і оформлювальних робіт; економіку видавничої справи; попит споживачів, стан і перспективи розвитку ринків збуту літератури;
діючі системи оплати праці працівників редакційно-видавничих підрозділів; авторське право;
порядок розрахунку авторських гонорарів і оплати за роботи, виконані за договорами і трудовими договорами (контрактами); порядок підготовки рукописів до здачі у виробництво ,
коректурних відбитків до видання; технологію поліграфічного виробництва;
порядок ліцензування видавничої діяльності;
організацію праці; трудове законодавство, правила і норми охорони праці.
Вимоги до кваліфікації директора видавництва: вища професійна освіта і стаж роботи за фахом, в тому числі на керівних посадах, не менше 5 років.
Посадові обов'язки головного редактора:
організовує редагування наукової та методичної літератури, а також інформаційних і нормативних матеріалів;
очолює розробку проектів перспективних і річних тематичних планів видання літератури з урахуванням попиту на ринках збуту, планів редакційно-підготовчих робіт і графіків редакційних і виробничих процесів видання;
здійснює контроль за дотриманням встановлених термінів подання рукописів, здачею їх в набір, обробки коректурних відбитків і випуску літератури у світ, а також за науковим і літературним змістом видань і якістю їх поліграфічного виконання;
готує матеріали для укладення видавничих договорів з авторами і трудових договорів (контрактів) із зовнішніми редакторами, рецензентами, художниками та іншими особами, залученими до виконання робіт з видання літератури, бере участь в оформленні документів по розрахунках за виконані ними роботи;
організовує проведення консультацій авторів з метою надання їм допомоги в роботі над рукописами;
приймає надходять рукописи, перевіряє відповідність їх оформлення встановленим правилам і умовам, передбаченим видавничими договорами, направляє рукопису на рецензування та редагування;
розглядає питання, пов'язані з виконанням авторами договірних умов, укладення редакторів за рукописами і приймає рішення про схвалення або відхилення їх видання
20.12.2012 21:12-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора