Автор работы: Пользователь скрыл имя, 21 Декабря 2012 в 13:23, курсовая работа
нформаційна сфера відіграє важливу роль у забезпеченні безпеки всіх сфер життєдіяльності суспільства. Через цю сферу реалізується значна частина загроз національній безпеці держави.
Одними з основних джерел загроз інформаційної безпеки є діяльність іноземних розвідувальних і спеціальних служб, злочинних співтовариств, організацій, груп, формувань, і протизаконна діяльність окремих осіб, спрямована на збір чи розкрадання цінної інформації, закритої для доступу сторонніх осіб. Причому в останні роки пріоритет у даній сфері діяльності зміщається в економічну область.
1. ВСТУП…………………………………………………………………………………………………………3
2. МЕТА РОБОТИ……………………………………………………………………………………………......3
3. ЗАВДАННЯ……………………………………………………………………………………………………3
4. ВИЗНАЧЕННЯ ПЕРЕЛІКУ ОБ’ЄКТІВ, ЯКІ ПІДЛЯГАЮТЬ ЗАХИСТУ.
ПОБУДОВА МОДЕЛЕЙ ОБ’ЄКТІВ………………………………………………………………………5
5. ВИЗНАЧЕННЯ ТА АНАЛІЗ ПОВНОЇ МНОЖИНИ ДЕСТАБІЛІЗУЮЧИХ
ФАКТОРІВ. ПОБУДОВА МАТРИЦІ ЗАГРОЗ…………………………………………………………….10
6. ПОБУДОВА МОДЕЛІ ПОРУШНИКА……………………………………………………………………..28
7. ПОЛІТИКА БЕЗПЕКИ……………………………………………………………………………………… 31
8. РОЗРОБЛЕННЯ СИСТЕМИ ЗАХИСТУ ОБ’ЄКТІВ…………………………………….............................33
9. РЕАЛІЗАЦІЯ ПЛАНУ ЗАХИСТУ ІНФОРМАЦІЇ………………………………………………………....36
10. КОНТРОЛЬ ФУНКЦІОНУВАННЯ І КЕРУВАННЯ СИСТЕМОЮ ТЗІ…………….……………………38
11. ВИСНОВОК………………………………………………………………………………………………….38
12. Н А К А З “ПРО ОРГАНІЗАЦІЮ ЗАХИСТУ ТЕХНІЧНИХ ЗАСОБІВ ОРГАНУ, ЩОДО ЯКОГО ЗДІЙСНЮЄТЬСЯ ТЗІ ВІД ВИТОКУ ІНФОРМАЦІЇ ТЕХНІЧНИМИ КАНАЛАМИ”.……..………….39
13. АКТ КАТЕГОРІЮВАННЯ ………………………………………………………………... ………………41
14. ПАСПОРТ НА ПРИМІЩЕННЯ…………………………………………………………………………….42
15. ДЛЯ СЛУЖБОВОГО КОРИСТУВАННЯ…………………………………………………………………44
16. АКТ ПРИЙМАННЯ РОБІТ…………………………………………………………………………………47
17. НАКАЗ ПРО ПРОВЕДЕННЯ ОБСТЕЖЕННЯ УМОВ ІНФОРМАЦІЙНОЇ ДІЯЛЬНОСТІ…………………………………………………………………………………........................48
18. ПЕРЕЛІК ІНФОРМАЦІЇ З ОБМЕЖЕНИМ ДОСТУПОМ ……………………………………………….50
19. АКТ ПРО ПОРЯДОК ТА ОРГАНІЗАЦІЮ ПРОВЕДЕННЯ РОБІТ НА КПП……………………………51
20. АКТ ПРО ПРОВЕДЕННЯ ПОЛІТИКИ БЕЗПЕКИ НА ЦЕНТРУ ГЕОІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ……………..53
21. ПЛАН ПРОВЕДЕННЯ ЗАХИСНИХ ЗАХОДІВ ДЛЯ ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІзОД ВІД ВИТОКУ ЗА МЕЖІ КОНТРОЛЬОВАНИХ ЗОН……………………………………………………………………...58
22. ПЛАН ОБ’ЄКТУ ЗАХИСТУ…………………………………………………………………………….. ...60
23. СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ………………………………………………………………..62
5. Керівники підрозділів
зобов'язані:
Постійно тримати в полі зору питання безпеки. Стежити за тим, щоб те ж робили їхні підлеглі. Проводити аналіз ризиків, виявляючи активи, що вимагають захисту, і уразливі місця систем, оцінюючи розходів від можливого збитку порушення режиму безпеки і вибираючи ефективні засоби захисту. Організувати навчання персоналу заходів безпеки. Звернути особливу увагу на питання, зв'язані з антивірусним контролем. Інформувати адміністраторів локальної мережі й адміністраторів сервісів про зміну статусу кожного з підлеглих (перехід на іншу роботу, звільнення і т.п.). Забезпечити, щоб кожен комп'ютер у їхніх підрозділах мав системного адміністратора, що відповідає за безпеку і має достатню кваліфікацію для виконання цієї ролі.
6. Адміністратори локальної мережі зобов'язані:
Інформувати керівництво про ефективність
існуючої політики безпеки і про
технічні заходи, що можуть поліпшити
захист. Забезпечити захист устаткування
локальної мережі, у тому числі інтерфейсів
з іншими мережами. Оперативно й ефективно
реагувати на події, що тають в собі загрозу.
Інформувати адміністраторів сервісов
про спроби порушення захисту. Робити
допомогу у відображенні погрози, виявленні
порушників і наданні інформації для їхнього
покарання. Використовувати перевірені
засоби аудита і виявлення підозрілих
ситуацій. Щодня аналізувати реєстраційну
інформацію, що відноситься до мережі
в цілому і до файлових серверів особливо.
Стежити за новинками в області ІБ, повідомляти
про їх користувачам і керівництву. Не
зловживати даними їм великими повноваженнями.
Користувачі мають право на таємницю.
Розробити процедури і підготувати інструкції
для захисту локальної мережі від шкідливого
ПЗ. Робити допомогу у виявленні і ліквідації
злобливого коду. Регулярно виконувати
резервне копіювання інформації, що зберігається
на файлових серверах. Виконувати всі
зміни мережної апаратно-програмної конфігурації.
Гарантувати обов'язковість процедури
ідентифікації й автентификації для доступу
до мережевих ресурсів. Виділяти користувачам
вхідні імена і початкові паролі тільки
після заповнення реєстраційних форм.
Періодично робити перевірку надійності
захисту локальної мережі. Не допускати
одержання привілеїв неавторизованими
користувачами.
7.Користувачі зобов'язані:
Знати і дотримувати закони, правила,
політику безпеки, процедури безпеки.
Використовувати доступні захисні механізми
для забезпечення конфіденційності і
цілісності своєї інформації. Використовувати
механізм захисту файлів і належним образом
задавати права доступу. Вибирати гарні
паролі, регулярно змінювати їх. Не записувати
паролі на папері, не повідомляти їх іншим
обличчям. Допомагати іншим користувачам
дотримувати заходів безпеки. Указувати
їм на виявлені недогляди. Інформувати
адміністраторів чи керівництво про порушення
безпеки й інших підозрілих ситуацій.
Не використовувати слабості в захисті
сервісів і локальної мережі в цілому.
Не робити неавторизованої роботи з даними,
не створювати перешкод іншим користувачам.
Не намагатися працювати від імені інших
користувачів. Забезпечувати резервне
копіювання інформації з жорсткого диску
свого комп'ютера. Знати принципи роботи
шкідливого ПЗ, шляху його проникнення
і поширення, слабості, що при цьому можуть
використовуватися. Знати і дотримуватись
процедури для попередження проникнення
злобливого коду, його виявлення і знищення.
Знати слабості, що використовуються для
неавторизованого доступу. Знати способи
виявлення ненормального поводження конкретних
систем, послідовність подальших дій.
Знати і дотримувати правила поведінки
в екстрених ситуаціях та послідовність
дій при ліквідації наслідків аварій.
Голова аналітичної
комісії
Заступник директора
Лабораторія мікробіології Н.О. Морозов ____________
“_20_”_ грудня 2006 р.
З метою забезпечення належного режиму при проведені на підприємстві робіт і усунення можливих каналів витоку інформації з обмеженим доступом за рахунок технічних засобів
НАКАЗУЮ:
1. Обов’язки щодо організації робіт з технічного захисту інформації з обмеженим доступом органу, щодо якого здійснюється ТЗІ покласти на Іванов В. Б. Обов’язки щодо контролю повноти та якості реалізованих заходів покласти на комісію підрозділу.
2. Затвердити перелік інформації з обмеженим доступом, яка наявна в органі, щодо якого здійснюється ТЗІ, додаток № 7 до наказу.
3. Затвердити перелік виділених приміщень, інформаційних систем, спеціальних об’єктів на яких утворюється, обробляється, зберігається, передається інформація з обмеженим доступом, додаток № 4 до наказу.
4. Начальнику підрозділу ТЗІ в термін до 08.12.2006 представити мені для затвердження список осіб, відповідальних за забезпечення режиму у виділених приміщеннях, на об’єктах.
5. Встановити в органі, щодо якого здійснюється ТЗІ контрольовану зону (зони) відповідно до затвердженої мною планом-схемою, додаток № 10 до наказу.
6. Підрозділу ТЗІ вжити заходів, що виключають несанкціоноване перебування в контрольованій зоні сторонніх осіб і транспортних засобів.
7. Комісії
з категоріювання провести
8. Підрозділу ТЗІ провести первинну атестацію виділених об’єктів, результат атестації зареєструвати в атестаційному паспорті виділеного приміщення (об’єкту, інформаційної системи).
9. Установити, що роботу з ІзОД допускається здійснювати тільки в приміщеннях, що пройшли атестацію.
10. При роботі з ІзОД дозволяється використовувати технічні засоби передачі, обробки і збереження інформації, що тільки входять у затверджений мною перелік (додаток № 4 до наказу).
11. Для забезпечення захисту ІзОД від витоку з виділених приміщень за межі контрольованих зон певного підрозділу органу, щодо якого здійснюється ТЗІ (наприклад, головного енергетика) у цих приміщеннях провести захисні заходи відповідно до затвердженого мною плану-графіку ( додаток № 10 до наказу).
11. Контроль за виконанням плану-графіка захисних заходів покласти на підрозділ ТЗІ.
12. На підрозділ ТЗІ покласти обов’язки з підготовки технічних засобів у виділених приміщеннях (якщо ці засоби вимагають попередньої підготовки) до проведення особливо важливих заходів.
13. Про проведення особливо важливих заходів відповідальним особам вчасно повідомляти підрозділ ТЗІ.
14. Начальнику підрозділу по завершенні організаційних, організаційно-технічних і технічних заходів для захисту об’єктів органу, щодо якого здійснюється ТЗІ провести перевірку заходів і представити мені Акт прийому робіт із захисту від можливого витоку ІзОД для узгодження і наступного затвердження.
15. Начальнику підрозділу разом із призначеними мною відповідальними за забезпечення режиму у виділених приміщеннях підготувати і представити мені на затвердження графік проведення періодичних атестаційних перевірок виділених приміщень і технічних засобів, що в них знаходяться.
16. Про всі виявлені при атестації й атестаційних перевірках порушення доповідати мені для вжиття оперативних заходів.
План проведення захисних заходів для забезпечення захисту ІзОД від витоку за межі контрольованих зон (відповідно до план-графіку)
Здійснити такі заходи для забезпечення захисту ІзОД від витоку за межі контрольованих зон:
10. Встановити системи завад та придушити побічні електромагнітні випромінювання;
11. Встановити порядок проведення робіт з резервування даних;
12. Встановити порядок ведення журналів реєстрації подій;
13. Організувати політику доступу до ІзОД та призначити грифи секретності комерційній та секретній державній інформації (згідно розділу ІІ статей 10, 12 та 13 закону України «Про державну таємницю»; розділів ІІІ та ІV закону України «Про захист інформації в автоматизованих системах»; див. додаток №6);
14. Створити профілі для кожного з користувачів та затвердити план про обновлення та збереження анонімності паролів доступу в комп’ютерній мережі;
15. Затвердити політику ІБ (див. додаток №9 до наказу);
16. Ввести в дію системний журнал спостереження за діями персоналу в мережі;
17. Унеможливити доступ до кімнат №3, 4, 5 та 6 посторонніх осіб, включаючи охорону та забезпечити розпізнавання осіб на вході до них за допомогою біометричних систем розпізнавання сітківки ока, відбитків пальця або голосу;
18. Забезпечити джерелом резервного живлення підприємство на час виходу з ладу основного джерела;
19. Покрити протиударні вікна плівкою захисту від зчитування по електромагнітному полю, навколо підприємства;
20. Встановити броньовані двері та грати на вікна;
21.Заборонити
неконтрольоване, не
22. Здійснити захист процесів, процедур і програм обробки інформації.
23. Здійснити контроль цілісності й керування системою захисту;
24. Впровадити й організувати використання обраних мір, способів і засобів захисту.
Перелік складено головою аналітичної комісії Гончаруком А. О.:_____________
Додаток №10
Об’єкт захисту Центр космічної геодезії –Приміщення складається з семи кімнат(згідно плану №7). Визначимо кожну з низ окремо, її функціональне призначення, персонал, що має доступ до цієї кімнати, технічні пристрої, що тут розташовані. Для цього кімнати пронумеруємо і на плані розташуємо усі основні і додаткові технічні пристрої (згідно варіанту №7) *
Умовні позначення, використані на плані:
- комп’ютер виділений під сервер
- сканер
- ксерокс
- розподільчий щиток 220V
- стіл
- стілець
- комп’ютерний стіл та крсло - кабінка WC - член персоналу
- каналізаційний люк - люк водопроводу - КПП
- позначення нумерації дверей - позначення нумерації вікон
- проводовий телефон - переговорний пристрій
- радіотелефон
- символізує наявність пожежної сигналізації - лінія, що показує межі стоянок - лінія мережі електроживлення - стоянка автомобілів - стоп
- кабелі локальної мережі - зелене насадження - автомобіль - труби водопроводу
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ
1. Організація захисту інформації на об’єктах державної та підприємницької діяльності.
В. Домарєв, С.О. Скворцов, в-во Європейського університету - 2006 р.
2. Физические основы технических средств обеспечения информационой безопастности: Учебное пособие. - М.: Гелиос АРВ, 2004,-224с.
3. Теоретические основы защиты информации: Учебное пособие.-М.: Гериос АРВ, 2004,-240с.
4. Антонюк О. А. Основи захисту інформації в автоматизованих системах : навчальний посібник - .К.: в - во дім “КМ академія”, 2003, - 244с.
5. Методи захисту банківської інформації. Навчальний посібник В.К. Задірака
6. Використані нормативні документи, закони, положення України:
а) Конституція України;
б) Закон України “Про інформацію”;
в) Закон України “Про державну таємницю”;
г) “Положення про технічний захист інформації в Україні”, затверджене Указом Президента України від 27.09.1999 № 1229/99;
д) “Положення про контроль за функціонуванням системи технічного захисту інформації”, зареєстроване в Міністерстві юстиції України 11.01.2000 за № 10/4231;
е) Державні стандарти України “Технічний захист інформації” ДСТУ 3396.0-96, 3396.1-96, 3396.2-96;
є) Державні будівельні норми України ДБН А.2.2.-2.96;
ж) “Зведений перелік відомостей, що становлять державну таємницю”
з) Нормативні документи Державної служби з питань технічного захисту інформації:
- “Тимчасове положення про категоріювання об’єктів” (ТПКО-95), затверджене наказом № 35 від 10.07.1995;
- Тимчасові рекомендації з технічного захисту інформації ТР ТЗІ - ПЕМВН-95, ТР ЕОТ-95, затверджені наказом № 25 від 09.06.1995;