Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Проектування систем захисту інформації
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
ІКТА
Факультет:
ЗІ
Кафедра:
Кафедра захисту інформації
Інформація про роботу
Рік:
2024
Тип роботи:
Курсова робота
Предмет:
Проектування систем захисту інформації
Варіант:
4 14 1
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ, НАУКИ, МОЛОДІ ТА СПОРТУ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
Кафедра захисту інформації
Курсовий проект
з курсу: «Проектування систем захисту інформації»
Зміст
Вступ
Детальний план та опис об’єкту захисту і видів інформації, що опрацьовується і зберігається на об’єкті. На об’єкті обов’язково повинні бути: комп’ютери, телефонні апарати, пожежна та охоронна сигналізація, мовна інформація, документи з обмеженим доступом
Оцінка можливих каналів витоку інформації на об’єкті та їх опис. Створення моделі порушника та схеми системи захисту інформації на об’єкті
Перелік організаційних заходів на об’єкті
Перелік організаційно-технічних заходів на об’єкті
Перелік технічних заходів на об’єкті
Розрахунок необхідних розмірів контрольованої зони і максимально допустимих відстаней розташування основних і допоміжних засобів на об'єкті
Вибір типу та розрахунок екранування ТЗПІ
Вибір типу схеми та розрахунок елементів системи заземлення
Пошук радіозакладних пристроїв та диктофонів. Протидія їх роботі
Порядок організації локальної мережі, адміністрування розподіл прав доступу користувачів, захист програмного забезпечення та захист інформації від витоку через ПЕМВ
Захист акустичної (мовної) інформації. Звукоізоляція та акустичне маскування
Порядок атестації, сертифікації та періодичність перевірки спроектованої системи та її елементів
13. Висновки та рекомендації
14. Список літератури
Вступ
Для проектування системи Захисту Інформації з найвищим ККД, доцільно звернутися до моделі «Планування-Виконання-Перевірка-Дія». Модель відображає принципи, які встановлені в керівних вказівках Організації економічного співтовариства та розвитку, що керують захистом інформаційних систем і мереж. В цій моделі можливо виділити основні чотири етапи, так само ми поступимо і при виконанні цього курсового проекту.
– Етап планування – розроблення політики безпеки, встановлення цілей, процесів і процедур щодо менеджменту ризиків та встановлення захисту інформації для надання результатів відповідно до загальної політики і цілей організації;
– Етап виконання – реалізація та експлуатація політики безпеки, засобів менеджменту, процесів і процедур у системі ІБ;
– Етап перевірки – здійснення корегувальних та попереджувальних дій, що ґрунтується на результатах внутрішнього аудиту системи ЗІ і аналізу з боку керівництва або іншої вагомої інформації для того, щоб постійно вдосконалювати систему ЗІ;
– Етап дії – оцінювання показників процесів щодо політики, цілей і практичного досвіду в сфері ТЗІ, доведення результатів до керівництва організації для аналізу.
Протягом роботи дані етапи будуть дещо доповнюватися та конкретизуватися, але саме ця структура буде взята подальше проробленої роботи.
В підсумку буде проаналізовано пророблену роботу, будуть дані відповіді на питання, надійності, складності та працездатності спроектованої системи ТЗІ.
Для того, щоб побудувати ефективну систему захисту, перед її проектуванням необхідно поглиблено вивчити об’єкт, що захищається, його особливості, визначити види інформації, які циркулюють на об’єкті. Відповідно перша частина даної роботи присвячена детальному опису об’єкту захисту.
На початковому етапі вибору засобів захисту інформації - необхідно обгрунтувати важливості захисту інформації та визначення основних переліків загроз. Суть цього процесу полягає в аналізі можливих ризиків, загроз, атак і в аудиті існуючої інформаційної системи (ІС).
Далі необхідно здійснити вибір заходів та існуючих засобів захисту. Вибір засобів захисту є суб'єктивним процессом та грунтується в основному на досвіді спеціалістів із захисту інформації. Слід надавати перевагу засобам, які сертифіковані в Україні.
Наступним етапом є впровадження й тестування засобів захисту, що повинно бути виконане структурованим способом. Цей процес починається розробкою плану впровадження засобів захисту. План повинен ураховувати фактори, такі як доступний обсяг фінансування, рівень підготовки користувачів та графік випробувань для кожного засобу захисту, який відображає вплив на інші засоби захисту або функціональні можливості ІС.
Таким чином, приходимо до висновку, що побудова системи захисту інформації це складний і трудомісткий процес, що вимагає застосування широкого спектру знань з інформаційної безпеки.
Детальний план та опис об’єкту захисту і видів інформації, що опрацьовується і зберігається на об’єкті.
Планування СТЗІ потрібно почати з опису об’єкту, який проводиться на етапі перед проектних робіт, що буде затверджено документально, у вигляді акту обстеження на ОІД, зразок якого наведено нижче:
Для службового користування
Прим. №1
ЗАТВЕРДЖЕНО
Керівник установи-замовника
Цаленко Б.В.
01 січня 2014 р.
АКТ
обстеження на об’єкті інформаційної діяльності
«Лабораторії приладів для високоточних вимірювань»
---------------------------------------------------------------------------------------------------
(назва, належність об'єкта інформаційної діяльності)
1 Обстеження на ОІД проведено комісією в складі Притула А.М., Морфійський О.Р., призначеною наказом по установі від 10.09.2012 р. №2, згідно із затвердженою програмою обстеження.
2 Вказують такі відомості:
2.1 Характеристика ОІД.
ОІД – це інженерно-технічна споруда, яка розміщена за адресою м.Львів, вул. Коперніка, 13.
Характеристика об’єкта: 1 поверх 3 поверхового цегляного будинку, який знаходиться на контрольованій території.
Ситуаційний план наведено на рис.1, план розміщення ОТЗ, ТЗПІ та ДТЗС - рис.2., рис.3 і рис.4 відповідно (див. додаток 1).
Електроживлення - централізоване. Електроживлення приміщення здійснюється від трансформаторної підстанції, яка знаходиться у межах КЗ та не має сторонніх споживачів. Контури заземлення виконані усередині контрольованої зони. Системи теплопостачання, водопостачання та каналізації підключені до міських мереж. Територія будівлі має огорожу по периметру земельної ділянки. На об’єкті присутня також пожежна і охоронна сигналізація, кабелі телефонного зв’язку.
2.2 Характеристика складових ОІД.
Приміщення №4 – кабінет директора лабораторії, де зберігається ІзОД (у письмовому та електронному вигляді)
Площа –10м кв. Висота стелі – 2,5 м. Суміжні приміщення: кабінет обліку №3 (ліворуч) та коридор.
Архітектурно-будівельні особливості приміщення:
– огороджувальні будівельні конструкції:
стеля – підвісна (гіпсокартон)
підлога – дерев’яна
стіни – цегляні (товщина 0,5 цегли);
– вікна (3 шт. подвійне)
двері – 1шт. звукоізолюючі полегшені.
Складові ОІД, що можуть впливати на показники ефективності захищеності ІзОД :
ОТЗ: 1 персональний комп’ютер, який під’єднаний до локальної мережі (з виходом в Інтернет), сигнальні лінії мережі Ethernet,зовнішній модем.
ТЗПІ: проводовий телефон, БФП.
ДТЗС: лінії мережі електроживлення,лінії пожежної та охоронної сигналізації, кабелі телефонного зв’язку.
Приміщення №3 – кабінет обліку, де проводяться облікові заходи з документами підприємсва (здійснюється оброблення ІзОД, а також можливе її озвучення).
Площа – 64 м кв. Висота стелі – 2,5 м.
Архітектурно-будівельні особливості приміщення:
– огороджувальні будівельні конструкції:
стеля – підвісна (гіпсокартон)
підлога – дерев’яна
стіни – цегляні (товщина 0,5 цегли);
– вікно (1 шт. подвійне)
двері – 1шт. звукоізолюючі важкі інші отвори.
Складові ОІД, що можуть впливати на показники ефективності захищеності ІзОД :
ОТЗ: 2 персональних комп’ютера, які з’єднані в локальну мережу(з виходом в Інтернет), спеціальні вимірювальні прилади, комплекс випробування приладів.
ДТЗС: лінії мережі електроживлення, лінії пожежної та охоронної сигналізації сигналізації.
2.4 Опис систем заземлення.
Заземленню підлягають персональні комп’ютери та комплекс випробування приладів, принтер, ксерокс.
2.5 Результати аналізу: контрольована зона всіх ОТЗ не перевищує 5 метрів, ОТЗ заземлене, вікна обладнані жалюзі та шторами , що не надає можливість огляду приміщення сторонніми;виконання робіт з ТЗІ виконані 21 січня 2014 року; монтажні роботи, щодо встановлення вібродатчиків заплановано на 1 лютого 2014року.
3 Пропозиції щодо необхідності:
– отримання додаткових даних про можливі місця розміщення засобів технічної розвідки (загроз для ІзОД, у т.ч. засобів тривалого перехоплення);
– розроблення нової моделі загроз для ІзОД;
– проведення випробувань (у т.ч. спеціальних досліджень технічних засобів, які оброблятимуть ІзОД);
– розроблення технічних вимог та завдань з питань ТЗІ;
– застосування організаційних, інженерно-технічних заходів захисту (у т.ч. застосування засобів оброблення ІзОД, інших технічних засобів у захищеному виконанні);
– залучення до виконання робіт зі створення комплексу ТЗІ суб’єктів господарської діяльності в галузі ТЗІ, проектних, будівельно-монтажних установ, а також розроблення проектно-кошторисної документації в частині ТЗІ згідно з вимогами державних будівельних норм України, інших НД.
4. Акти категоріювання об’єктів провести у 10-денний термін. (див.
додаток 2)
Додатки: додаток 1, додаток 2, додаток 3
Перелік протоколів та інших документів щодо обстеження (протокол про визначення найвищого ступеня обмеження доступу до інформації (див. додаток3).
Голова комісії _____________ Глущенко Є.В.
(підпис) ( ініціали, прізвище)
Члени комісії ____________ Цаль Б.В.
(підпис) (ініціали, прізвище)
2. Оцінка можливих каналів витоку інформації на об’єкті та їх опис. Створення моделі порушника та схеми системи захисту інформації на об’єкті.
Опис основних каналів витоку інформації
Технічний канал витоку інформації – це сукупність об’єкта розвідки, технічного засобу розвідки, за допомогою якого добувається інформація про об’єкт , і фізичного середовища, у якому поширюється інформаційний сигнал.
У залежності від фізичної природи виникнення інформаційних сигналів, а також середовища їхнього поширення і способів перехоплення технічними засобами розвідки (ТЗР) технічні канали витоку можна розділити на:
Електромагнітні, електричні і параметричні – для телекомунікаційної інформації;
Повітряні (прямі, акустичні), вібраційні (віброакустичні), електроакустичні, оптико-електронні і параметричні – для мовної інформації.
Можливі канали витоку інформації на об’єкті
Канали витоку телекомунікаційної інформації:
Електромагнітні канали витоку інформації:
Перехоплення побічних електромагнітних випромінювань (ПЕМВ) елементів ТЗПІ;
Перехоплення ПЕМВ на частотах роботи високочастотних (ВЧ) генераторів у ТЗПІ і ДТЗС;
Перехоплення ПЕМВ на частотах самозбудження підсилювачів низької частоти (ПНЧ) ТЗПІ
Перехоплення побічних електромагнітних випромінювань ТЗПІ здійснюється засобами радіо-, радіотехнічної розвідки, розміщеними поза контрольованою зоною.
Електричні канали витоку інформації:
Знаття наводок ПЕМВ ТЗПІ зі сполучних ліній ДТЗС і сторонніх провідників;
Зняття інформаційних сигналів з ліній електроживлення ТЗПІ;
Зняття інформаційних сигналів з кола заземлення ТЗПІ і ДТЗС;
Зняття інформації шляхом установки в ТЗПІ електронних пристроїв перехоплення інформації
Перехоплення інформаційних сигналів з електричних каналів витоку можливе шляхом безпосереднього підключення до сполучних ліній ДТЗС і стороннім провідникам, що проходять через приміщення, де встановленні ТЗПІ, а також до систем живлення і заземлення ТЗПІ. Для цих цілей застосовується спеціальні засоби радіо-, радіотехнічної розвідки, а також спеціальна вимірювальна апаратура.
Канали (технічні) витоку акустичної інформації:
Акустичний канал витоку. Для перехоплення акустичних каналів використовуються:
спрямовані мікрофони;
портативні диктофони і провідні мікрофонні системи прихованого звукозапису;
акустичні радіозакладки(передача інформації з радіоканалу);
акустичні мережні закладки( передача інформації з мережі 220В);
акустичні інфрачервоні закладки (передача інформації з оптичного каналу в інфрачервоному діапазоні довжин хвиль);
акустичні телефонні закладки(передача інформації з телефонної лінії на високій частоті);
акустичні телефонні закладки типу „телефонне вухо”(передача інформації з телефонної лінії „телефону-спостерігачу” на низькій частоті).
Прямий акустичний (повітряний) канал витоку. Для перехоплення акустичних сигналів використовуються мікрофони.
Електроакустичний канал витоку. Здійснюється шляхом безпосереднього підключення до сполучних ліній телефонного апарату.
Вібраційний (віброакустичний) канал витоку. Середовищем поширення акустичних сигналів є стіни, вікна, труби водопостачання, каналізація.
Оптико-електронний (лазерний) канал витоку утворюється при опроміненні лазерним променем вібруючої поверхні скла вікна, скла меблів, натянутого полотна картини.
Модель загроз ІзОД (приміщення 4)
1. Мета розробки моделі – виявлення та первинний аналіз пріоритетних напрямків побудови системи захисту інформації, відокремлення незначущих та встановлення взаємозв’язків можливих каналів витоку ІзОД.
2. Розташування об’єкту:
2.1 Схема розташування наведена на рис.1А.
2.2 Контрольована зона, яка забезпечується навколо об’єкту: Схема наведена в на рис.1А.
3. До складу об’єкту, який підлягає захисту, входять:
№
приміщення
Призначення
Примітки
4
Режимний кабінет
Площа – 10м2, призначений для розроблення конфіденційних документів
4. Дані про технічні засоби, наявні на об’єкті:
На об’єкті встановлено:
№
прист.
Тип технічного засобу
Призначення
Характеристика
Примітки
1
персональні комп’ютери
для здійснення збереження, обробки інформації
Операційна система - Microsoft Windows 8.1; антивірусна програма –Microsoft Security, системний блок Asus CM6431, монітор LG 19EN33S-B, Rapoo E9050, мишка UFT M6
кількість-2
2
Багато функціональний Прилад
для роздруку, копіювання та сканування документів
Canon SCX-3405W
кількість-1
3
телефон
для проведення розмов
Texet TX-212
кількість-2
4
монітор
для показу слайдів, презинтацій
LG 19EN33S-B
кількість-1
2.1 Канали витоку інформації:
2.1.1. Оскільки заземлення та електроживлення не виходять за межі контрольованої зони, то формування небезпечних сигналів є неможливим.
2.1.2. Наведення небезпечних сигналів в ланцюгах, проводах та кабелях, інших технічних засобах за умови недодержання встановлених відстаней взаємного розміщення.
Оскільки для обробки ІзОД дозволено використовувати лише технічні засоби, які мають спеціальний на те дозвіл, виданий уповноваженою організацією, вважається що вони не створюють каналів витоку інформації (за умов їх правильного використання та відсутності можливості несанкціонованого доступу, що вирішується переважно організаційними заходами захисту). В такому випадку такі технічні засоби розглядаються лише як джерело небезпечного впливу на допоміжні технічні засоби, не призначені для обробки ІзОД
Основні технічні засоби та системи
Види небезпечного впливу на допоміжні технічні засоби
Технічні засоби обробки (перетворення) інформації в цілому
Наведення електромагнітних сигналів в ланцюгах, проводах та кабелях, в елементах, чутливих до електромагнітних полів;
випромінювання небезпечних сигналів за рахунок самозбудження або паразитної модуляції підсилювачів інформаційних сигналів;
Лінійно-комутаційне обладнання зв’язку (кабелі, шафи, розподільчі пристрої, тощо)
Наведення сигналів в ланцюгах, проводах та кабелях, які мають спільні траси проходження;
безпосереднє гальванічне підключення.
2.2 Аналіз можливих каналів витоку інформації за рахунок наявних допоміжних технічних засобів.
2.2.1. Канали витоку інформації через наявні джерела електромагнітного впливу:
2.2.1.1. Модуляція наявного випромінювання небезпечними інформаційними сигналами.
2.3. Телефонний апарат, системи охоронної, пожежної сигналізації - пристрої, яких наявні електромагніти, електродвигуни в ланцюгах передачі інформації, керування.
2.3.1. Канали витоку інформації через джерела акустичного впливу:
2.3.1.1. Несанкціоноване перетворення акустичних сигналів в електромагнітні з подальшим випромінюванням їх в навколишній простір, передачею лініями зв’язку та електроживлення, які мають вихід за межі контрольованої зони.
2.3.2. Канали витоку інформації через джерела електромагнітного впливу:
Технічні засоби, які використовуються для обробки ІзОД
Телефонні апарати
акустичне випромінювання, низькочастотне випромінювання
(мовний діапазон)
ПЕОМ
високочастотне випромінювання (радіодіапазон); випромінювання оптичного діапазону, несанкціонований доступ, піддається загрозі цілість та конфіденційності ІзОД
Принтер
акустичне випромінювання, низькочастотне та високочастотне випромінювання (мовний діапазон), випромінювання оптичного діапазону
Монітор
високочастотне випромінювання (радіодіапазон); випромінювання оптичного діапазону
Ведення переговорів в приміщенні
акустичне випромінювання
Технічні засоби
Канал витоку
Можливі канали витоку ІзОД, які могуть створюватись іншими технічними засобами, наявними на об’єкті.
Індекс
Можливий виток інформації за рахунок:
Кабелі, проводи та ланцюги, які не мають виходу за межі контрольованої зони
Н
наведення на технічні засоби, інші проводи та кабелі, які розміщені на відстанях, менш критичних
Кабелі, проводи та ланцюги, які мають вихід за межі контрольованої зони
Д
безпосереднього гальванічного підключення
Н
безконтактного знімання інформації (тобто випромінювання електромагнітних сигналів самими кабелем, проводом)
Н
наведення на проводи та кабелі, що мають спільну трасу проходження, на інші ланцюги того ж самого кабелю
Телефонні апарати
А
властивості елементів конструкції апаратів перетворювати акустичні сигнали в електромагнітні як мовного (мікрофонний ефект), так і радіодіапазону (автогенерація)
Д
властивості елементів конструкції апаратів перетворювати акустичні сигнали в електромагнітні як мовного (мікрофонний ефект), так і радіодіапазону (автогенерація) за умов цілеспрямованого стороннього впливу
Н
стороннього впливу на елементи конструкції апаратів, чутливі до електричних чи магнітних полів, з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч
В
випромінювання електромагнітних сигналів, які потім могуть перехоплюватись випадковими антенами
А
випромінювання акустичних сигналів
Комп’ютерна техніка, принтер
В
випромінювання електромагнітних сигналів, які потім могуть перехоплюватись випадковими антенами
О
перегляду сторонніми особами зображення на моніторі
О
спостереження сторонніми особами за роботою з клавіатурою
Д
несанкціонованого доступу до оперативної пам’яті чи накопичувачів комп’ютера
Копіювально-множувальна техніка(ксерокс)
В
випромінювання електромагнітних сигналів, які потім могуть перехоплюватись випадковими антенами
О
спостереження сторонніми особами за роботою з апаратом
Системи охоронної та пожежної сигналізації
А
властивості елементів конструкції пристроїв перетворювати акустичні сигнали в електромагнітні з подальшим передаванням колами електроживлення або керування
В, Н
стороннього впливу на елементи конструкції пристроїв, чутливі до електричних чи магнітних полів, з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч
А
властивості елементів конструкції апаратів перетворювати акустичні сигнали в електромагнітні радіодіапазону (автогенерація).
Вікна
А
відбиваючих властивостей поверхні скла (підданість лазерному прослуховуванню)
О
перегляду приміщення сторонніми особами
Стіни, двері, перекриття
А
розповсюдження акустичних хвиль в твердому матеріалі
Д
несанкціонованого доступу в приміщення сторонніх осіб
Мережа електроживлення
Наявність ТЗ
нерівномірності споживання току пристроями, які приймають участь в обробці інформації
Проводи заземлення
Наявність ТЗ
нерівномірності токів, що протікають проводами та шинами
А – ІзОД присутня в вигляді акустичного випромінювання;
В – ІзОД присутня в вигляді високочастотного випромінювання (радіодіапазон);
Н – ІзОД присутня в вигляді низькочастотного випромінювання (мовний діапазон);
О – ІзОД присутня в вигляді випромінювання оптичного діапазону;
Д – несанкціонований доступ, піддається загрозі цілість та конфіденційність ІзОД.
Модель порушника
Порушник - це особа, яка помилково, наслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Модель порушника відображає його практичні та потенційні можливості, його знання, час та місце дії, тощо.
При розробці моделі порушника визначається:
припущення щодо категорії осіб до яких може належати порушник;
припущення щодо мотивів дій порушника;
припущення щодо рівня кваліфікації та обізнаності порушника та його технічної оснащеності (щодо методів та засобів, які використовуються при здійсненні порушення);
обмеження та припущення щодо характеру можливих дій порушника ( за часом та місцем дії).
Виділяють 5 типів порушників. Їх поділяють на 2 групи: зовнішні і внутрішні.
Зовнішні:
добре озброєна і оснащена силова група, що діє ззовні – швидко і напролом;
поодинокий порушник, що немає доступу на об’єкт, діє скритно і обережно.
Внутрішні:
допоміжний персонал об’єкта, що допущений на об’єкт, але не допущений до життєво важливого інформаційного центру інформації;
основний персонал, що допущений до життєво важливого інформаційного центру;
працівники служби безпеки, які формально не допущені до життєво важливої інформації, але в силу їх посадових інструкцій мають можливість таку інформацію отримати.
Сторонні особи також можуть бути порушниками: клієнти, відвідувачі, представники організацій, що займаються забезпеченням життєдіяльності будівлі (представники енерго-, водо-, і теплопостачання), представники конкуруючих організацій, особи, які ненавмисно або випадково порушили пропускний режим, будь-яка особа за межами контрольованої зони.
Виділяють 4 основних мотиви порушень: безвідповідальність, самоствердження, корислива мета, професійний обов’язок.
Для побудови моделі порушника використовуємо такі його характеристики, мотиви і виділяємо такі категорії порушників:
Категорії порушників
Позначення
Визначення категорії
Рівень загрози
Внутрішні по відношенню до АС
ПВ1
Технічний персонал, який обслуговує будови та приміщення (електрики, сантехніки, прибиральники тощо), в яких розташовані компоненти АС
1
ПВ2
Персонал, який обслуговує технічні засоби (інженери, техніки)
2
ПВ3
Користувачі (оператори) АС
2
ПВ4
Співробітники підрозділів (підприємств) розробки та супроводження програмного забезпечення
3
ПВ5
Адміністратори ЛОМ
3
ПВ6
Співробітники служби захисту інформації
4
ПВ7
Керівники різних рівнів посадової ієрархії
4
Зовнішні по відношенню до АС
ПЗ1
Будь-яки особи, що знаходяться за межами контрольованої зони.
1
ПЗ2
Відвідувачі (запрошені з деякого приводу)
2
ПЗ3
Представники організацій, що взаємодіють з питань технічного забезпечення (енерго-, водо-, теплопостачання і таке інше)
2
ПЗ4
Хакери
3
ПЗ5
Співробітники закордонних спецслужб або особи, які діють за їх завданням
4
Специфікація моделі порушника за мотивами здійснень порушень
Позначення
Мотив порушення
Рівень загрози
М1
Безвідповідальність
1
М2
Самоствердження
2
М3
Корисливий інтерес
3
М4
Професійний обов’язок
4
Специфікація моделі порушника за рівнем кваліфікації та обізнаності щодо АС
Позначення
Основні кваліфікаційні ознаки порушника
Рівень загрози
К1
Знає функціональні особливості системи, основні закономірності формування масивів даних та потоків запитів до них, має навички щодо користування штатними засобами системи
1
К2
Володіє високим рівнем знань та практичними навичками роботи з технічними засобами системи та їх обслуговування
2
К3
Володіє високим рівнем знань у галузі програмування та обчислювальної техніки, проектування та експлуатації автоматизованих інформаційних систем
2
К4
Знає структуру, функції й механізми дії засобів захисту, їх недоліки
3
К5
Знає недоліки та “вади” механізмів захисту, які вбудовані у системне програмне забезпечення та його недокументовані можливості
3
К6
Є розробником програмних та програмно-апаратних засобів захисту або системного програмного забезпечення
4
Специфікація моделі порушника за показником можливостей використання засобів та методів подолання системи захисту
Позначення
Характеристика можливостей порушника
Рівень загрози
З1
Використовує лише агентурні методи одержання відомостей
1
З2
Використовує пасивні засоби (технічні засоби переймання без модифікації компонентів системи)
2
З3
Використовує лише штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути приховано пронесено крізь охорону
3
З4
Застосовує методи та засоби дистанційного (з використанням штатних каналів та протоколів зв’язку) упровадження програмних закладок та спеціальних резидентних програм збору, пересилання або блокування даних, дезорганізації систем обробки інформації.
3
З5
Застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передачі даних).
4
Специфікація моделі порушника за часом дії
Позначення
Характеристика можливостей порушника
Рівень загрози
Ч1
До впровадження АС або її окремих компонентів
1
Ч2
Під час бездіяльності компонентів системи (в неробочій час, під час планових перерв у роботі, перерв для обслуговування і ремонту і т.д.)
2
Ч3
Під час функціонування АС (або компонентів системи)
3
Ч4
Як у процесі функціонування АС, так і під час призупинки компонентів системи
4
Специфікація моделі порушника за місцем дії
Позначення
Характеристика місця дії порушника
Рівень загрози
Д1
Без доступу на контрольовану територію організації
1
Д2
З контрольованої території без доступу у будинки та споруди
1
Д3
Усередині приміщень, але без доступу до технічних засобів АС
2
Д4
З робочих місць користувачів (операторів) АС
2
Д5
З доступом у зони даних (баз даних, архівів й т.ін.)
3
Д6
З доступом у зону керування засобами забезпечення безпеки АС
4
Для побудови моделі порушника використаємо усі можливі категорії, мотиви та характеристики порушників. Рівень загрози кожної з них вказується в дужках і оцінюється за 4-бальною шкалою.
Припустимо, що за своїм рівнем порушник – це фахівець вищої кваліфікації, який має повну інформацію про систему.
Визначення категорії
Мотив порушення
Рівень кваліфікації та обізнаності щодо АС
Можливості використання засобів та методів подолання системи захисту.
Специфікація моделі порушника за часом дії
Специфікація моделі порушника за місцем дії
Сумарний рівень загрози
Внутрішні по відношенню до АС
Технічний персонал, який обслуговує будови та приміщення в яких розташовані компоненти АС (1)
М 1-3 (6)
К 1-5
(11)
З 1-5
(13)
Ч 2
(2)
Д 3
(2)
35
Працівники (лаборанти) АС (2)
М 1-3 (6)
К 1-5
(11)
З 1-5
(13)
Ч 2-4
(9)
Д 4-5
(5)
46
Головний інженер (3)
М 1-3 (6)
К 1-5
(11)
З 1-5
(13)
Ч 1-4
(10)
Д 3-5
(7)
53
Керівник (4)
М 1-3 (6)
К 1-6
(15)
З 1-5
(13)
Ч 1-4
(10)
Д 4-6
(9)
54
Зовнішні по відношенню до АС
Будь-які особи, що знаходяться за межами контрольованої зони(1)
М 2-4
(9)
К 1-4
(8)
З 1-4
(9)
Ч 4
(4)
Д 1
(1)
32
Відвідувачі (запрошені з деякого приводу) (2)
М 2-4
(9)
К 1-4
(8)
З 1-4
(9)
Ч 3
(3)
Д 2-3
(3)
34
Представники організацій, що взаємодіють з питань технічного забезпечення (енерго-, водо-, теплопостачання і таке інше)(2)
М 1-3
(6)
К 1-4
(8)
З 1-3, 5
(10)
Ч 1-2
(3)
Д 2-3
(3)
32
Хакери (3)
М 2-4
(9)
К 1-5
(11)
З 4
(3)
Ч 3-4
(7)
Д 1
(1)
34
Співробітники закордонних спецслужб або особи, які діють за їх завданням (4)
М 4
(4)
К 1-5
(11)
З 1-5
(13)
Ч 1-4
(10)
Д 1-3
(4)
46
Проаналізувавши дану модель порушника, можна прийти до висновку:
з внутрішніх порушників найнебезпечнішими є керівник, головний інженер та лаборанти. Ці особи мають найбільший рівень доступу до елементів АС і до інформації, що в ній знаходиться; з зовнішніх порушників найнебезпечнішими є співробітники закордонних спецслужб, хакери, відвідувачі.
Схема системи захисту інформації на об’єкті
Для того, щоб спроектувати надійну систему захисту інформації на об’єкті, потрібно висунути наступні вимоги до складових частин ОІД:
Основну будівлю(стіни, перекриття) потрібно захистити від:
фізичного проникнення через неї зловмисника.
пошкодження.
впливів стихійних лих навколишнього середовища.
розповсюдження акустичних хвиль в твердому матеріалі.
Вікна потрібно захистити від:
відбиваючих властивостей поверхні скла (можливості лазерного прослуховування).
перегляду приміщення сторонніми особами.
фізичного проникнення через неї зловмисника.
Коридори потрібно захистити від:
знаходження в них сторонніх об’єктів.
таємного знаходження в них зловмисника.
Входи в кімнати потрібно захистити від:
несанкціонованого проникнення.
таємного проникнення через них зловмисника.
зламу
підслуховування.
Необхідно організувати в разі потреби можливість відвідувачу з певними повноваженнями, чи представникам організацій, що взаємодіють з питань технічного забезпечення увійти до внутрішніх приміщень з обов’язковою фіксацією їх перебування в цих приміщеннях, приводу їхнього перебування там, тощо.
Персональні комп’ютери, з’єднані в локальну мережу з виходом в Internet, сигнальні лінії локальної мережі Ethernet потрібно захистити від:
проникнення в них вірусів і закладок.
перегляду сторонніми особами зображення на моніторі.
спостереження сторонніми особами за роботою з клавіатурою.
несанкціонованого доступу до оперативної пам’яті чи накопичувачів комп’ютера.
наведень на технічні засоби.
Спеціальні вимірювальні прилади, комплекс випробування приладів, вимірювальні прилади потрібно захистити від:
випромінювання електромагнітних сигналів, які потім можуть перехоплюватись
випадковими антенами.
дії на них сторонніх осіб.
спостереження сторонніми особами за роботою з апаратурою.
Комплекс для дослідження матеріалів потрібно захистити від:
Телефон потрібно захистити від:
випромінювання електромагнітних сигналів, які потім можуть перехоплюватись
випадковими антенами.
автогенерації та мікрофонного ефекту.
паразитної модуляції.
Принтер та ксерокс потрібно захистити від:
випромінювання електромагнітних сигналів.
спостереження сторонніми особами за їх роботою.
дії на них сторонніх осіб.
Кабелі телефонного зв’язку, лінії мережі електроживлення, лінії пожежної та охоронної сигналізації потрібно захистити від:
електромагнітних наведень на них.
безпосереднього гальванічного підключення.
наведення на проводи та кабелі, що мають спільну трасу проходження, на інші
ланцюги того ж самого кабелю.
3. Перелік організаційних заходів на об’єкті
Організаційні заходи – це сукупність організаційно-технічних і організаційно-правових заходів, які регламентують процес функціонування систем та мереж зв’язку й електронно-обчислювальної техніки, а також забезпечують заборону або утруднення несанкціонованого доступу (НСД) до інформації. Організаційні заходи здійснюються на всіх етапах життєвого циклу систем: проектування, будівництва, експлуатації й утилізації.
Ці заходи включають:
унеможливлення впливів стихійних лих;
унеможливлення таємного проникнення тощо;
заходи стосовно підбору та підготовки персоналу (у тому числі перевірка кадрів, прийманих на роботу, навчання правилам роботи з конфіденційною інформацією, ознайомлення з відповідальністю за порушення правил захисту, виключення плинності кадрів тощо);
організацію зберігання й використання документів та носіїв;
організацію підготовки та контролю роботи користувачів;
залучення до проведення робіт із захисту інформації організацій, що мають ліцензію на діяльність в області захисту інформації, видану відпо відними органами;
встановлення категорій й атестація об'єктів ТЗПІ і виділених для прове дення закритих заходів приміщень (далі виділених приміщень) по вико нанню вимог забезпечення захисту інформації при проведенні робіт з відомостями відповідного ступеня таємності,
використання на об'єкті сертифікованих ТЗПІ і ДТЗС;
установлення контрольованої зони навколо об'єкта;
залучення до робіт по будівництву, реконструкції об'єктів ТЗПІ, монта жу апаратури організацій, що мають ліцензію на діяльність в області за хисту інформації по відповідних пунктах;
організація контролю й обмеження доступу на об'єкти ТЗПІ та у виді лені приміщення;
введення територіальних, частотних, енергетичних, просторових і тим часових обмежень у режимах використання технічних засобів, що підля гають захисту;
відключення на період закритих заходів технічних засобів, що мають елементи, що виконують роль електроакустичних перетворювачів, від лі ній зв'язку.
4. Перелік організаційно-технічних заходів на об’єкті
Організаційно-технічні засоби, якими унеможливлюється несанкціоноване перебування сторонніх осіб на території органу, щодо якого здійснюється ТЗІ: контрольно-перепускний пост, технічні засоби охорони та сигналізація, протипожежна система).
Охорона об'єктів здійснюється по периметру території (зовнішня, периметрова) й усередині об'єктів (внутрішньооб'єктова). Фізичною перешкодою на шляху проникнення зловмисника на територію центру є огорожа з колючої стрічки і контрольно-пропускний пункт (КПП), спеціально встановлений для здійснення пропуску людей і транспорту, винесення(внесення) чи вивозу (ввозу) матеріальних цінностей і документів. КПП-внутрішній здійснює доступ людей у будинок.
Контрольно-проїзний пункт обладнаний проїзними воротами, естакадами для огляду транспорту.
Як фізичні бар'єри в приміщеннях використовуються укріплені двері, ґрати, замки, засуви, засувки на вікнах і дверях. Контроль і обмеження доступу на об’єкт й у виділені приміщення: досягається укріпленням дверей та установкою на них замків різних типів (з ключем, кодовий).
Люки водопостачання і каналізації, через які можна проникнути на об'єкт, обладнуються постійними металевими кришками.
До електронних технічних засобів охорони належать:
засоби виявлення ЗЛ;
засоби виявлення пожежі;
засоби спостереження;
засоби забезпечення пропускного режиму;
лінії зв'язку.
Технічні засоби охорони повинні забезпечувати:
своєчасну подачу сигналу тривоги у вартове приміщення;
при спробі порушників проникнути на охоронювану територію, у будинок чи приміщення із вказівкою місця, часу порушення (пожежі), а також напрямку руху порушника, включення сирени, дзвінків, гучномовного зв'язку з метою змусити порушника відмовитися від своїх намірів;
одержання достовірної інформації про стан охоронюваного об'єкта без виходу на місце особового складу охорони;
автоматизацію і механізацію контрольно-пропускного режиму;
подачу сигналу при виникненні пожежі;
ведення охорони об'єкта мінімальною кількістю людей;
забезпечення особистої безпеки і поліпшення умов праці особовому складу варти.
Блокування каналів витоку інформації може здійснюватися:
- демонтуванням технічних засобів, ліній зв'язку, сигналізації та керування, енергетичних мереж, використання яких не пов'язано з життєзабезпеченням підприємства та обробленням ІзОД;
- видаленням окремих елементів технічних засобів, які є середовищем поширення полів та сигналів, з
06.02.2014 14:02-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора