Автор работы: Пользователь скрыл имя, 21 Декабря 2012 в 13:23, курсовая работа
нформаційна сфера відіграє важливу роль у забезпеченні безпеки всіх сфер життєдіяльності суспільства. Через цю сферу реалізується значна частина загроз національній безпеці держави.
Одними з основних джерел загроз інформаційної безпеки є діяльність іноземних розвідувальних і спеціальних служб, злочинних співтовариств, організацій, груп, формувань, і протизаконна діяльність окремих осіб, спрямована на збір чи розкрадання цінної інформації, закритої для доступу сторонніх осіб. Причому в останні роки пріоритет у даній сфері діяльності зміщається в економічну область.
1. ВСТУП…………………………………………………………………………………………………………3
2. МЕТА РОБОТИ……………………………………………………………………………………………......3
3. ЗАВДАННЯ……………………………………………………………………………………………………3
4. ВИЗНАЧЕННЯ ПЕРЕЛІКУ ОБ’ЄКТІВ, ЯКІ ПІДЛЯГАЮТЬ ЗАХИСТУ.
ПОБУДОВА МОДЕЛЕЙ ОБ’ЄКТІВ………………………………………………………………………5
5. ВИЗНАЧЕННЯ ТА АНАЛІЗ ПОВНОЇ МНОЖИНИ ДЕСТАБІЛІЗУЮЧИХ
ФАКТОРІВ. ПОБУДОВА МАТРИЦІ ЗАГРОЗ…………………………………………………………….10
6. ПОБУДОВА МОДЕЛІ ПОРУШНИКА……………………………………………………………………..28
7. ПОЛІТИКА БЕЗПЕКИ……………………………………………………………………………………… 31
8. РОЗРОБЛЕННЯ СИСТЕМИ ЗАХИСТУ ОБ’ЄКТІВ…………………………………….............................33
9. РЕАЛІЗАЦІЯ ПЛАНУ ЗАХИСТУ ІНФОРМАЦІЇ………………………………………………………....36
10. КОНТРОЛЬ ФУНКЦІОНУВАННЯ І КЕРУВАННЯ СИСТЕМОЮ ТЗІ…………….……………………38
11. ВИСНОВОК………………………………………………………………………………………………….38
12. Н А К А З “ПРО ОРГАНІЗАЦІЮ ЗАХИСТУ ТЕХНІЧНИХ ЗАСОБІВ ОРГАНУ, ЩОДО ЯКОГО ЗДІЙСНЮЄТЬСЯ ТЗІ ВІД ВИТОКУ ІНФОРМАЦІЇ ТЕХНІЧНИМИ КАНАЛАМИ”.……..………….39
13. АКТ КАТЕГОРІЮВАННЯ ………………………………………………………………... ………………41
14. ПАСПОРТ НА ПРИМІЩЕННЯ…………………………………………………………………………….42
15. ДЛЯ СЛУЖБОВОГО КОРИСТУВАННЯ…………………………………………………………………44
16. АКТ ПРИЙМАННЯ РОБІТ…………………………………………………………………………………47
17. НАКАЗ ПРО ПРОВЕДЕННЯ ОБСТЕЖЕННЯ УМОВ ІНФОРМАЦІЙНОЇ ДІЯЛЬНОСТІ…………………………………………………………………………………........................48
18. ПЕРЕЛІК ІНФОРМАЦІЇ З ОБМЕЖЕНИМ ДОСТУПОМ ……………………………………………….50
19. АКТ ПРО ПОРЯДОК ТА ОРГАНІЗАЦІЮ ПРОВЕДЕННЯ РОБІТ НА КПП……………………………51
20. АКТ ПРО ПРОВЕДЕННЯ ПОЛІТИКИ БЕЗПЕКИ НА ЦЕНТРУ ГЕОІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ……………..53
21. ПЛАН ПРОВЕДЕННЯ ЗАХИСНИХ ЗАХОДІВ ДЛЯ ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІзОД ВІД ВИТОКУ ЗА МЕЖІ КОНТРОЛЬОВАНИХ ЗОН……………………………………………………………………...58
22. ПЛАН ОБ’ЄКТУ ЗАХИСТУ…………………………………………………………………………….. ...60
23. СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ………………………………………………………………..62
3. КПП для проїзду транспортних
засобів обладнується воротами
з електромеханічним приводом
та/або шлагбаумом з фартухом.
В усіх випадках КПП
4. Для КПП, що обладнані шлагбаумами, повинні передбачатися ворота, які необхідно замикати на період, коли пропускні пункти не працюють, а також у час підвищеної загрози.
5. КПП і прилегла до них
територія повинні
6. Кількість КПП для проходу
(проїзду) в контрольовану
7. КПП, які не працюють цілодобово чи тимчасово не функціонують, повинні замикатися технічно справними замками і періодично контролюватися працівниками підрозділу служби охорони (надалі СО).
8. Ключі від КПП, усіх замків вхідних (в'їздних) воріт, дверей (лазів) підземних переходів, мереж каналізації та тунелів тощо зберігаються у начальника СО, старшого керівника відповідного підрозділу СО чи у призначеного для цього працівника СО, на яких покладена відповідальність за конкретну ділянку роботи та за технічний стан замикаючих пристроїв.
Видача та приймання ключів, а також передача їх між черговими змінами здійснюється під розпису в спеціальному журналі.
9. Контроль за станом КПП, їх обладнанням, огорожею контрольованої зони і зон обмеженого доступу, що охороняються, технічними засобами спостереження, засобами зв'язку, супутниковою системою, освітленням тощо здійснюється спеціально підготовленими і сертифікованими фахівцями, в тому числі працівниками СО.
Додаток № 9
Керівник аналітичної комісії
органу, щодо якого
здійснюється ТЗІ,
Гончарук А. О.
З А Т В Е Р Д Ж У Ю
АКТ
про проведення політики безпеки
1. Організация заходів щодо ПІБ:
Не можна приступати до впровадження правил ЗІ, поки користувачі не придбають навичок, необхідних для їхнього дотримання. Безпека вимагає не тільки знань, але і дій. Усі користувачі повинні знати, що потрібно робити і чого робити не варто, коли вони зіштовхуються з порушенням чи з можливістю його виникнення; до кого потрібно звертатися при виникненні підозр. Користувачі повинні бути упевнені в тім, що заходи для забезпечення безпеки приймаються в їхніх же інтересах, а не по інших розуміннях.
Слід запросити консультанта збори групи як наставника при розробці правил.
Працюючи таким способом створимо правила безпеки, до яких буде мати відношення кожен співробітник. Забезпечити користувачів правилами. Навіть, якщо правила засвоєні, то може виникнути питання, як ці правила впровадити, тому слід надавати разом із усіма правилами модельні процедури впровадження і приклади.
Необхідно щораз доповнювати
правила модельними процедурами
і прикладами реалізації, що присвячені
захисту від нових небезпек.
У загальному виді сукупність заходів, спрямованих на запобігання загроз, визначається в такий спосіб:
- введення захисту технічних
засобів (ТЗ), програмного забезпечення
(ПЗ) та масивів даних;
- резервування ТЗ;
- регулювання доступу до ТЗ, ПЗ, масивам
інформації;
- регулювання використання програмно-апаратних
засобів і масивів інформації;
- криптографічний захист інформації;
- контроль елементів ІС;
- своєчасне знищення непотрібної інформації
та документів у пристрої для знищення
паперу;
- сигналізація;
- своєчасне реагування.
У системному плані безліч розномаїтих
можливих видів ЗІ визначається способами
впливу на дестабілізуючі фактори, їхні
причини, що сприяє підвищенню значень
показників захищеності інформації. Ці
способи можуть бути класифіковані в такий
спосіб:
фізичні засоби,
механічні,
електричні,
електромеханічні,
електронні,
електронно-механічні
й інші пристрої і системи, що функціонують
автономно, створюючи різного роду
перешкоди дестабілізуючим
Головною властивістю побудови
системи захисту повинна бути
здатність до її пристосування при
зміні структури технологічних
схем чи умов функціонування ІС.
Іншими принципами можуть бути:
- мінімізація витрат, максимальне
використання серійних засобів;
- забезпечення рішення необхідної сукупності
задач захисту;
- комплексне використання засобів захисту,
оптимізація архітектури;
- зручність для персоналу;
- простота експлуатації.
СЗІ доцільно будувати у виді взаємозалежних
підсистем, а саме:
- підсистема криптографічного захисту
- поєднує засоби такого ЗІ, що по ряду
функцій
кооперується з підсистемою
захисту від НСД;
- підсистема забезпечення юридичної значимості
електронних документів;
- підсистема захисту від НСД;
- підсистема організаційно-правового
захисту;
- підсистема керування СЗІ.
Побудова системи захисту
2. Політики безпеки для
Internet:
Організації повинні відповісти на наступні питання, щоб правильно врахувати можливі наслідки підключення до Іntеrnеtу в області безпеки:
· Чи можуть хакери зруйнувати внутрішні
системи?
· Чи може бути скомпрометована(змінена
чи прочитана) важлива інформація організації
при її передачі по Internet?
· Чи можна перешкодити роботі організації?
Ціль політики безпеки для Internet – прийняти рішення про те, як організація збирається захищатися. ПІБ звичайно складається з двох частин – загальних принципів (визначають підхід до безпеки в Internet)і конкретних правил роботи (визначають що дозволено, а що – заборонено і можуть доповнюватися конкретними процедурами і різними посібниками).
При проектуванні Internet не задумувалася
як захищена мережа, тому його проблемами
в поточній версії TCP/IP є:
· легкість перехоплення даних і фальсифікації
адрес машин у мережі (основна частина
трафіка Internet) – це нешифровані дані. E-mail,
паролі і файли можуть бути перехоплені,
використовуючи легко доступні програми.
· уразливість засобів TCP/IP – ряд засобів
TCP/IP не був спроектований бути захищеними
і може бути скомпрометований кваліфікованими
зловмисниками; засоби, використовувані
для тестування особливо уразливі.
· складність конфігурації – засоби керування
доступом хосту складні; найчастіше складно
правильно сконфігурурвати і перевірити
ефективність установок . Засоби, що помилково
неправильно сконфігуруровані, можуть
привести до неавторизованого доступу.
3. Короткий зміст документів
ПІБ:
”Концепція забезпечення ІБ
в ІС” повинна містити:
· загальну характеристику об'єкта захисту
(опис складу, функцій існуючої технології
бробки даних у типовій ІС);
· формулювання цілей створення СЗІ, основних
задач забезпечення ІБ і шляхів досягнення
цілей (рішення задач);
· перелік типових загроз ІБ і можливих
шляхів їхньої реалізації, неформальну
модель ймовірних порушників;
· основні принципи і підходи до побудови
системи забезпечення ІБ, заходи, методи
і засоби досягнення цілей захисту.
"План захисту" від НСД до інформації
і незаконного втручання в процес функціонування
ІС містить:
· визначення цілей, задач захисту інформації
в ІС і основні шляхи їхнього досягнення;
· вимоги по організації і проведенню
робіт із ЗІ в ІС,
· опис застосовуваних заходів і засобів
захисту інформації від розглянутих погроз,
загальних вимог до
· розподіл відповідальності за реалізацію
"Плану захисту ІС" між посадовими
особами і структурними підрозділами
організації.
"Положення про категоризації ресурсів
ІС" містить:
· формулювання цілей уведення класифікації
ресурсів по категоріям захищеності;
· пропозиції по числу і назвам категорій
ресурсів, що захищаються, і критеріям
класифікації ресурсів по необхідних
ступенях захищеності;
· зразок формуляра ЕОМ (для обліку необхідного
ступеня захищеності, комплектації, конфігурації
і переліку розв'язуваних на ЕОМ задач);
· зразок формуляра розв'язуваних на ЕОМ
ІС функціональних задач (для обліку їхніх
характеристик, категорій користувачів
задач і їхніх прав доступу до інформаційних
ресурсів даних задач).
"Порядок звертання з інформацією, що
підлягає захисту" повинна містити:
· визначення основних видів інформації,
що захищається, та конфіденційних зведень;
· загальні питання організації обліку,
збереження і знищення документів і магнітних
носіїв з конфіденційною інформацією;
· порядок передачі (надання) конфіденційних
зведень третім обличчям;
· визначення відповідальності за порушення
встановлених правил поводження з
інформацією, що захищається;
· форму типової угоди-зобов'язання співробітника
організації про дотримання вимог поводження
з інформацією, що захищається.
"План забезпечення безупинної роботи
і відновлення" включає:
· загальні положення та призначення документа;
· класифікацію можливих кризових ситуацій
і вказівка джерел одержання інформації
про виникнення кризової ситуації;
· перелік основних заходів і засобів
забезпечення безперервності процесу
функціонування ІС і своєчасності відновлення
її працездатності;
· загальні вимоги до підсистеми забезпечення
безупинної роботи і відновлення;
· типові форми для планування резервування
ресурсів підсистем ІС і визначення
конкретних заходів і засобів
забезпечення їхньої
· порядок дій і обов'язків персоналу по
забезпеченню безупинної роботи і відновленню
працездатності системи.
"Положення про відділ ТЗІ"
містить:
· загальні положення, керівництво відділом;
· основні задачі і функції відділу;
· права й обов'язки начальника і співробітників
відділу, їх відповідальність;
· типову організаційно-штатну структуру
відділу.
"Обов'язку адміністратора ІБ підрозділу"
містять:
· основні права й обов'язки по підтримці
необхідного режиму безпеки;
· відповідальність за реалізацію прийнятої
політики безпеки, у межах своєї компетенції.
"Інструкція з внесення змін
у списки користувачів":
- визначає процедуру реєстрації, чи
надання зміни прав доступу користувачів
до ресурсів.
"Інструкція з модифікації технічних
і програмних засобів":
- регламентує взаємодія підрозділів
організації по забезпеченню ІБ при проведенні
модифікацій ПЗ і технічного обслуговування
засобів обчислювальної техніки.
"Інструкція з організації парольного
захисту":
- регламентує організаційно-технічне
забезпечення процесів генерації, зміни
і припинення дії паролів (видалення облікових
записів користувачів) в АС організації,
а також контроль за діями користувачів
і обслуговуючого персоналу системи при
роботі з паролями.
"Інструкція з організації антивірусного
захисту" містить:
· вимоги до закупівлі, установці антивірусного
ПЗ;
· порядок використання засобів антивірусного
захисту, регламенти проведення перевірок
і дії персоналу при виявленні вірусів;
· розподіл відповідальності за організацію
і проведення антивірусного контролю.
"Інструкція з роботи з ключовими дискетами
(ключами шифрування)" містить:
· порядок виготовлення, роботи, збереження
ключових дискет і знищення ключової інформації;
· обов'язки і відповідальність співробітників
по використанню і схоронності ключової
інформації;
· форми журналів обліку ключових дискет;
· порядок дій персоналу у випадку втрати,
псування ключової дискети, компрометації
ключової інформації.
4. Ролі й обов'язки:
Потрібно описати
Адміністратори локальної мережі забезпечують
безупинне функціонування мережі і відповідають
за реалізацію технічних заходів, необхідних
для проведення в життя політики безпеки.
Адміністратори сервісів відповідають
за конкретні сервіси і, зокрема, за те,
щоб захист був побудований відповідно
до загальної політики безпеки. Користувачі
зобов'язані працювати з локальною мережею
відповідно до політики безпеки, підкорятися
розпорядженням обличь, що відповідають
за окремі аспекти безпеки, доводити до
відома керівництво про всі підозрілі
ситуації.