Проведення системного аналізу інформаційної безпеки об’єкта Національний інститут стратегічних досліджень. Контрольна робота з Системний аналіз інформаційної безпеки. Робота № 527273

Перехід до торгівельного партнера Binance

Проведення системного аналізу інформаційної безпеки об’єкта Національний інститут стратегічних досліджень

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

Інститут комп’ютерних технологій, автоматики та метрології

Факультет:

УІ

Кафедра:

Захист інформації

Інформація про роботу

Рік:

2015

Тип роботи:

Контрольна робота

Предмет:

Системний аналіз інформаційної безпеки

Група:

УІ 31

Варіант:

Завантажити

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» ІКТА Кафедра ЗІ З В І Т до контрольної роботи з курсу: «Системний аналіз інформаційної безпеки» на тему: «Проведення системного аналізу інформаційної безпеки об’єкта » Варіант 13 Львів – 2015 1.Аналіз об’єкта захисту та інформаційного забезпечення, що застосовується. Національний інститут стратегічних досліджень – науково-дослідна установа, підпорядкована Президентові України. Утворений Указом Президента України № 127 від 4 березня 1992 року. Указом Президента України № 1158/2002 від 16 грудня 2002 року Інститут підпорядковано Президентові України, визначено базовою науково-дослідною установою аналітико-прогнозного супроводження діяльності Президента України, затверджено Статут Інституту. Інститут виконує наступні завдання: - організаційне, методичне та наукове супроводження підготовки проектів щорічних послань Президента України до Верховної Ради України; - наукове обґрунтування, аналіз та оцінка проблем і перспектив суспільно-політичного розвитку України; - наукове супроводження здійснення Президентом України, Радою національної безпеки і оборони України повноважень у сфері національної безпеки України; - дослідження проблемних питань економічного, демографічного, соціального, гуманітарного, етнополітичного, воєнно-політичного, зовнішньополітичного, інформаційного, екологічного розвитку України; - дослідження та моніторинг регіональних аспектів суспільного розвитку; - наукова експертиза проектів законодавчих та інших нормативно-правових актів, державних заходів соціально-політичного спрямування; - публікація результатів наукових досліджень, оперативне видання матеріалів з основних напрямів наукової діяльності Інституту; -співпраця з закордонними науково-дослідними закладами. Інститут проводить наукові дослідження, результати яких подає Президентові України, Раді національної безпеки і оборони України для визначення перспектив формування та реалізації стратегії суспільно-політичного розвитку України. Результатом діяльності інституту є інформація про геополітичну ситуацію, яка є важливою для своєчасного виявлення та пошуку шляхів вирішення загальнодержавних та регіональних проблем суспільного розвитку. Основними об'єктами захисту інформації є: інформація з обмеженим доступом (ІзОД), тобто інформаційні ресурси, зокрема, ті, що містять відомості, які належать або до таємної, або до конфіденційної інформації; технічні засоби приймання, обробки, зберігання та передання інформації (ТЗПІ), а саме: системи та засоби інформатизації (обчислювальна техніка, інформаційно-обчислювальні комплекси, мережі та системи); програмні засоби (операційні системи, системи керування базами даних та інше загально системне і прикладне програмне забезпечення); автоматизовані системи керування; системи зв'язку; технічні засоби отримання, передання та обробки ІзОД (звукозапис, звукопідсилення, звукосупроводження, переговорні та телевізійні пристрої; засоби тиражування і виготовлення документів та інші технічні засоби обробки графічної, алфавітно-цифрової та текстової інформації), їх інформативні фізичні поля; допоміжні технічні засоби і системи (ДТЗС), тобто технічні засоби і системи, які не належать до ТЗПІ, але розташовані в приміщеннях, де оброблюється ІзОД; до них відносять технічні засоби відкритого телефонного або гучномовного зв'язку, системи пожежної та охоронної сигналізації, система енергопостачання, радіотрансляційна мережа, система часофікації, енергопобутові прилади тощо, а такожсамі приміщення, де циркулює ІзОД. Для прийняття ефективних управлінських рішень в умовах динамічного розвитку підприємству потрібна доцільна система інформаційного забезпечення, об'єктивно відображає стан об’єкта та навколишнього середовища. Інформаційне забезпечення управління - це зв'язок інформації з системами управління підприємством і управлінським процесом в цілому. Воно може розглядатися не тільки в цілому, охоплюючи всі функції управління, а й за окремими функціональними управлінським роботам, наприклад прогнозування та планування, обліку і аналізу. Це дає можливість відтінити специфічні моменти, притаманні інформаційному забезпеченню функціонального управління, розкривши в той же самий час його загальні властивості, що дозволяє направити дослідження вглиб. У сучасних умовах важливою областю стало інформаційне забезпечення, яке полягає в зборі та переробці інформації, необхідної для прийняття обгрунтованих управлінських рішень. Передача інформації про стан і діяльність організації на вищий рівень управління і взаємний обмін інформацією між усіма взаємопов'язаними підрозділами здійснюються на базі сучасної електронно-обчислювальної техніки та інших технічних засобів зв'язку. Інформація потрібна всім: управляючим структурам, громадським організаціям, всім працюючим. Неможливо спиратися тільки на інтуїцію, на свій життєвий і практичний досвід, необхідно одержувати і освоювати інформацію, яка допомагає вирішувати виникаючі питання. Інформація виступає сьогодні як один з першорядних ресурсів, значення якого не менше, ніж значення матеріальних, сировинних і інших ресурсів. До речі, використання останніх в значній мірі залежить саме від стану і використання інформації. На відміну від більшості ресурсів, які здатні виснажуватися, інформаційний потенціал може використовуватися багато разів як колективами, так і індивідуальними працівниками. При цьому він постійно збільшується і збагачується. 2.Виявлення потенційних каналів витоку інформації. Аналіз актуальних загроз конфіденційної інформації, на основі якого будується система інформаційної безпеки підприємства та здійснюється організація захисту інформації, починається з розуміння і класифікації цих загроз. На даний момент теорія інформаційної безпеки поділяє інформаційні ризики на дві категорії - зовнішні і внутрішні загрози. Дана класифікація передбачає поділ загроз по локалізації зловмисника (або злочинної групи), який може діяти як віддалено, намагаючись отримати доступ до конфіденційної інформації підприємства за допомогою мережі інтернет, або ж діяти за допомогою доступу до внутрішніх ресурсів IT-інфраструктури об'єкта. У разі зовнішніх атак, злочинець шукає уразливості в інформаційній структурі, які можуть дати йому доступ до сховищ даних, ключових вузлів внутрішньої мережі, локальних комп'ютерів співробітників. У цьому випадку зловмисник користується широким арсеналом інструментів і шкідливого програмного забезпечення (віруси, трояни, комп'ютерні хробаки) для відключення систем захисту, шпигунства, копіювання, фальсифікації або знищення даних, нанесення шкоди фізичним об'єктам власності і т.д. Найбільш поширеною і різноманітною за методами виконання формою кіберзлочинності є використання шкідливого ПЗ. Такі загрози становлять пряму небезпеку конфіденційності та цілісності інформаційних ресурсів організації. В атаках з використанням шкідливих кодів і додатків використовуються уразливості інформаційних систем для здійснення несанкціонованого доступу до баз даних, файлової системи локальної корпоративної мережі, інформації на робочих комп'ютерах співробітників. Спектр загроз інформаційній безпеці, викликаних використанням шкідливого програмного забезпечення надзвичайно широкий. Ось деякі приклади таких загроз захисту інформації: Впровадження вірусів і інших руйнівних програмних дій; Аналіз і модифікація / знищення встановленого програмного забезпечення; Впровадження програм-шпигунів для аналізу мережевого трафіку і отримання даних про систему та стан мережних з'єднань; Використання вразливостей ПЗ для злому програмного захисту з метою отримання несанкціонованих прав читання, копіювання, модифікації або знищення інформаційних ресурсів, а також порушення їх доступності; Розкриття, перехоплення і розкрадання секретних кодів і паролів; Читання залишкової інформації в пам'яті комп'ютерів і на зовнішніх носіях; Блокування роботи користувачів системи програмними засобами і т.д. Проте, Більшість інцидентів інформаційної безпеки пов'язано з впливом внутрішніх загроз - витоку і крадіжки інформації, витоку комерційної таємниці та персональних даних клієнтів організації, збиток інформаційній системі пов'язані, як правило, з діями співробітників цієї організації. У класифікації внутрішніх загроз в першу чергу можна виділити дві великі групи -вчинені з корисливих або інших зловмисних міркувань, і здійснюються без злого умислу, з необережності або технічної некомпетентності. Отже, злочини співробітників, здатних заподіяти шкоду інтелектуальній та комерційній власності організації (їх прийнято називати «інсайдерами») можна розділити на категорії зловмисного інсайда і ненавмисного інсайда. Зловмисним інсайдером можуть стати: Співробітники, що затаїли злобу на компанію-роботодавця («скривджені»). Такі інсайдери діють виходячи з мотивів особистої помсти, причин для якої може бути маса - від звільнення / пониження в посаді до відмови компанії надати статусні атрибути, наприклад, ноутбук або розширений соцпакет. Нечисті на руку співробітники, які прагнуть підзаробити за рахунок компанії-роботодавця. Такими інсайдерами стають співробітники, що використовують секретні інформаційні ресурси компанії для власної вигоди. Бази даних клієнтів, інтелектуальна власність компанії, склад комерційної таємниці - така інформація може використовуватися інсайдером в особистих інтересах, або продаватися конкурентам. Впроваджені і завербовані інсайдери. Найнебезпечніший і самий важко-ідентифікований тип внутрішніх зловмисників. Як правило, є ланкою злочинного ланцюжка або членом організованої злочинної групи. Такі співробітники мають достатньо високий рівень доступу до конфіденційної інформації, збиток від їх дій може стати фатальним для компанії. Зловмисні інсайдери представляють певну небезпеку для інформаційної системи і конфіденційних даних, однак імовірність злочинних інцидентів мізерно мала в порівнянні з витоками інформації, які вчиняються з необережності або внаслідок технічної безграмотності співробітників. Та, на жаль, це так - левова частка всіх інцидентів інформаційної безпеки на об'єкті будь-якої складності є наслідком ненавмисних дій співробітників. Можливостей для таких витоків інформації безліч: від помилок введення даних при роботі з локальними мережами або інтернетом до втрати носія інформації (ноутбук, USB-накопичувач, оптичний диск); від пересилання даних по незахищеним каналам зв'язку до ненавмисного завантаження вірусів з розважальних веб-сайтів. 3.Постановка задач аналізу інформаційної безпеки на об’єкті при здійсненні його діяльності. Створення служби безпеки об’єкта. Тільки «комплексна система може гарантувати досягнення максимальної ефективності захисту інформації, тому що системність забезпечує необхідні складові захисту й установлює між ними логічний і технологічний зв'язок, а комплексність, що вимагає повноти цих складових, всеохоплення захисту, забезпечує її надійність». Метою системи захисту інформації підприємства є: ( запобігання витоку, розкраданню, втраті, перекручуванню, підробці інформації; ( запобігання загрозам безпеці особистості, підприємства, суспільства, держави; ( запобігання несанкціонованим діям щодо знищення, модифікації, перекручування, копіювання, блокування інформації; ( запобігання іншим формам незаконного втручання в інформаційні ресурси й системи, забезпечення правового режиму документованої інформації як об'єкта власності; ( захист конституційних прав громадян на збереження особистої таємниці й конфіденційності персональних даних, що існують в інформаційних системах; ( збереження конфіденційності документованої інформації відповідно до законодавства. Для грамотної побудови й експлуатації системи захисту необхідно дотримуватись таких принципів її застосування: ( простота захисту; ( прийнятність захисту для користувачів; ( підконтрольність системи захисту; ( постійний контроль за найбільш важливою інформацією; ( дроблення конфіденційної інформації на складові елементи, доступ до яких мають різні користувачі; ( мінімізація привілеїв доступу до інформації; ( установка пасток для провокування несанкціонованих дій; ( незалежність системи керування для користувачів; ( стійкість захисту в часі й за несприятливих обставин; ( глибина захисту, його дублювання й перекриття; ( особлива персональна відповідальність осіб, що забезпечують безпеку інформації; ( мінімізація загальних механізмів захисту. Алгоритм створення системи захисту конфіденційної інформації такий: ( визначення об'єктів захисту; ( виявлення загроз і оцінка їхньої ймовірності; ( оцінка можливої шкоди; ( огляд застосовуваних засобів захисту, визначення їхньої недостатності; ( визначення адекватних заходів захисту; ( організаційне, фінансове, юридичне та ін. види забезпечення засобів захисту; ( впровадження засобів захисту; ( контроль; ( моніторинг і коригування впроваджених засобів. 1. Начальник служби захисту інформації призначається наказом керівника підприємства. Він очолює групу компетентних співробітників, які висловлюють свої пропозиції щодо обсягу, рівня й способів забезпечення збереженості конфіденційної інформації. 2. Керівник групи, маючи відповідну кваліфікацію в цій сфері, із залученням окремих фахівців формує попередній список відомостей, які надалі ввійдуть в «Перелік відомостей, що становлять конфіденційну інформацію підприємства». 3. Керівник групи на основі цього списку визначає й подає на узгодження необхідні до захисту об'єкти (устаткування для обробки й обігу інформації, програмне забезпечення, комунікації для передання конфіденційних даних, носії інформації, персонал, допущений до роботи з використанням комерційної й Володимир Василюк Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні, вип. 1 (14), 2007 р. 47 іншої таємниці). 4. Аналізуються наявні засоби захисту відповідних об'єктів, визначається ступінь їхньої недостатності, неефективності, фізичного й морального зношування. 5. Вивчаються зафіксовані випадки спроб несанкціонованого доступу до захищених інформаційних ресурсів і розголошення інформації. 6. На основі досвіду підприємства, з використанням методу моделювання ситуацій група фахівців виявляє можливі шляхи несанкціонованих дій зі знищення інформації, її копіювання, модифікації, перекручування, використання й т. п. Загрози ранжуються за ступенем значимості й класифікуються за видами впливу. 7. На основі зібраних даних оцінюється можлива шкода підприємству від кожного виду загроз, що стає визначальним фактором для категорування відомостей в «Переліку» за ступенем важливості, наприклад, для службового користування, конфіденційно, суворо конфіденційно. 8. Визначаються сфери обігу кожного виду конфіденційної інформації: за носіями, територією поширення, допущеними користувачами. Для вирішення цього завдання група залучає керівників структурних підрозділів, вивчає їхні побажання. 9. Група проводить підготовку до введення зазначених засобів захисту. Для забезпечення працездатності розробленої системи захисту інформації необхідно створити спеціальний відділ у складі організації, що займається даними питаннями, – Службу захисту інформації (СлЗІ). До завдань СлЗІ належить: ( своєчасне виявлення загроз інформації, яка захищається, причин і умов їхнього виникнення й реалізації; ( виявлення й максимальне перекриття потенційно можливих каналів і методів несанкціонованого доступу до інформації; ( відпрацьовування механізмів оперативного реагування на загрози, використання юридичних, економічних, організаційних, соціально-психологічних, інженерно-технічних засобів і методів виявлення й нейтралізації джерел загроз безпеці компанії; ( організація спеціального діловодства, що виключає несанкціоноване одержання конфіденційної інформації. Начальник СлЗІ є новою штатною одиницею. На цю посаду слід брати професіонала-фахівця в галузі захисту інформації, котрий добре знає юридичний бік цієї проблеми, має досвід керівництва й координації роботи аналогічних служб. Вимоги: вища професійна освіта й стаж роботи в галузі захисту інформації не менше 5 років, знання законодавства в цій сфері, принципів планування захисту. Начальник СлЗІ повинен виконувати такі функції: ( виробляти політику забезпечення захисту інформації й забезпечувати її реалізацію; ( відповідати за функціонування СлЗІ й забезпечення захисту конфіденційної інформації; ( здійснювати планування й безпосереднє керівництво роботою СлЗІ, нести персональну відповідальність за виконання службою покладених на неї завдань, за неухильне виконання підлеглими своїх посадових обов'язків і правил внутрішнього трудового розпорядку; ( брати особисту участь у проведенні найбільш складних заходів щодо забезпечення захисту інформації в компанії; ( розробляти плани дій у надзвичайних ситуаціях, регулярно проводити навчання з підлеглими; ( керувати проведенням службових розслідувань; ( організовувати взаємодію СлЗІ з іншими підрозділами; ( розробляти інструкції з роботи з комерційною таємницею для персоналу, допущеного до роботи з відповідними документами; ( організовувати розробку рекомендацій з удосконалювання функціонування СлЗІ; ( здійснювати керівництво відділом охорони; ( крім того, виконувати функції юриста: розробка, ведення й оновлення основних документів з метою закріплення в них вимог забезпечення безпеки й захисту конфіденційної інформації. 4.Вибір технічних та організаційних засобів захисту. Організація контрольно-пропускного режиму. Система захисту об’єктів від витоку інформації складається, в основ- ному, із організаційних і технічних заходів, метою яких є ліквідація або сут- тєве зменшення можливості витоку конфіденційної інформації, а також конт- ролю захищеності технічних засобів в період їх експлуатації. Організаційний захід – це захід по захисту інформації, проведення якого не потребує застосування спеціально розроблених технічних засобів. До основних організаційних і режимних заходів відносяться: - проведення робіт із захисту інформації організаціями, які мають ліцензію на діяльність в сфері захисту інформації, виданою відповідними органами; - категоріювання та атестація об’єктів ТЗПІ і виділених для проведення закритих заходів приміщень по виконанню вимог забезпечення захисту інформації при проведенні робіт з відомостями відповідного ступеню таєм- ності; - використання на об’єкті сертифікованих ТЗПІ та ДТЗС; - встановлення контрольованої зони біля об’єкта; - залучення до робіт з будівництва, реконструкції об’єктів ТЗПІ, монтажу апаратури організацій, що мають ліцензію на діяльність в сфері захисту інформації по відповідним пунктам; - організація контролю і обмеження доступу на об’єкти ТЗПІ та у виділені приміщення; - введення територіальних, частотних, енергетичних, просторових і ча- сових обмежень в режимах використання технічних засобів, що підлягають захисту; - відключення на період закритих заходів технічних засобів, що мають елементи, які виконують роль електроакустичних перетворювачів (лінії зв’язку тощо) . Технічний захід – це дія із захисту інформації, яка передбачає застосу- вання спеціальних технічних засобів, а також реалізацію технічних рішень. Технічні заходи включають: - встановлення за допомогою технічних засобів потенційних каналів витоку інформації та визначення методів та засобів для їх блокування; - перевірку техніки, яка використовується, на відповідність величини паразитних випромінювань допустимим рівням; - екранування приміщень або техніки, яка використовується; - перемонтаж окремих мереж, кабелів та ліній зв’язку; - застосування спеціальних пристроїв і засобів захисту; - використання засобів активного захисту; - перевірку адекватності та надійності функціонування застосованих технічних засобів рівню потенційних загроз. На початку робіт з ТЗІ необхідно визначити види інформації та від якого роду загроз треба захищатися. Для цього в першу чергу визначають категорію приміщення. При цьому з’ясовують види та ступень таємності інформації, що може циркулювати у приміщенні. Далі розглядаються конструктивні особливості приміщення та умови його розташування, наявність побутової техніки та апаратури для обробки інформації, її типи та технічні характе- ристики. З’ясовується та враховується наявність біля об’єкту, що треба захи- щати, іноземних установ, автостоянок, приватних фірм (тобто місць, з яких можна організувати стаціонарне та мобільне зняття інформації). Заміряється відстань до таких місць і визначається охоронна зона, в межах якої несанкці- оноване зняття інформації вважається неможливим. Це надає змогу з’ясувати типи та ступень можливих загроз та встановити відповідну категорію захисту інформації. Якщо поряд з об’єктом є іноземні установи чи фірми, де можна організувати стаціонарне зняття інформації, категорійність приміщення підвищується на один ступень. Складається акт про встановлення категорійності приміщення, в якому відбиваються всі питання, що перераховані вище. Такий акт складається представниками підрозділу з ТЗІ та членами комісії, яка призначається керівником установи, де проводяться такі роботи. Встановлення категорійності приміщення надає змогу скласти план ро- біт з ТЗІ, в якому визначаються обсяги та напрямки проведення робіт з ТЗІ, термін їх проведення, необхідні технічні засоби для захисту інформації на об’єкті. Ці роботи повинен проводити ліцензіант, тобто установа, яка має державну ліцензію на проведення таких робіт. Надалі всі роботи з ТЗІ проводяться ліцензіантом. Якщо в установі є підрозділ з ТЗІ, який має ліцензію на виконання всього потрібного обсягу робіт, то ці роботи можуть проводитися таким підрозділом. При проведенні робіт з ТЗІ необхідно провести ряд заходів, зокрема: - визначити та змонтувати необхідні технічні засоби, що потрібні для захисту інформації на об’єкті; - провести необхідні вимірювання, які б підтвердили ефективність за- стосування обраних технічних засобів захисту та їх правильне функціону- вання. Після проведення всього комплексу технічних робіт ліцензіант разом з замовником складають акт про надання об’єкту певної категорії із захисту інформації. Лише після одержання та затвердження такого акту на об’єкті можна обробляти інформацію з обмеженим доступом. Технічний захист інформації від її несанкціонованого зняття полягає в застосуванні спеціальних технічних методів її захисту, які блокують потенційні канали витоку інформації, тобто заважають спробам її незаконного отримання. 5.Завдання для вдосконалення системи інформаційного захисту на об’кті при здійсненні діяльності. Бурхливий розвиток сучасних технологій і технічних засобів сприяє постійному розширенню спектра можливих каналів витоку інформації, тому дослідження каналів витоку стає все більше актуальним, і складним завданням. На ефективність систем безпеки істотно впливають характеристики каналів витоку інформації, тому створення нових та модернізація існуючих систем ефективного захисту має відбуватися з урахуванням особливостей реальних каналів. Традиційні засоби захисту (антивіруси, фаєрволи і т.д.) на сьогоднішній день не здатні ефективно протистояти сучасним кіберзлочинцям. Для захисту інформаційної системи організації потрібен комплексний підхід, що поєднує кілька рубежів захисту із застосуванням різних технологій безпеки. Для захисту від зовнішніх інтернет загроз інформаційній безпеці відмінно зарекомендували себе системи запобігання вторгнень на рівні хоста (HIPS). Грамотно вироблена політика безпеки, застосування спільно з HIPS інших програмних засобів захисту інформації (наприклад, антивірусного пакета) надають дуже високий рівень безпеки. Організація отримує захист практично від усіх типів шкідливого ПО, значно ускладнює роботу хакера, який вирішив спробувати пробити інформаційну захист підприємства, зберігає інтелектуальну власність і важливі дані організації. Захист від внутрішніх загроз також вимагає комплексного підходу. Він виражається у виробленні належних політик інформаційної безпеки, введенням чіткої організаційної структури відповідальних за інформаційну безпеку співробітників, контролі документообігу, контролю та моніторингу користувачів, введенні просунутих механізмів аутентифікації для доступу до інформації різного ступеня важливості. Ступінь такого захисту залежить від об'єктивних потреб організації в захисті інформації.

Контрольна робота Системний аналіз інформаційної безпеки

ui11

16.06.2015 14:06-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись