Організація режиму секретності на державних підприємствах та в установах. Організація та обладнання режимно – секретних органів

Автор работы: Пользователь скрыл имя, 21 Декабря 2012 в 13:23, курсовая работа

Краткое описание

нформаційна сфера відіграє важливу роль у забезпеченні безпеки всіх сфер життєдіяльності суспільства. Через цю сферу реалізується значна частина загроз національній безпеці держави.
Одними з основних джерел загроз інформаційної безпеки є діяльність іноземних розвідувальних і спеціальних служб, злочинних співтовариств, організацій, груп, формувань, і протизаконна діяльність окремих осіб, спрямована на збір чи розкрадання цінної інформації, закритої для доступу сторонніх осіб. Причому в останні роки пріоритет у даній сфері діяльності зміщається в економічну область.

Содержание работы

1. ВСТУП…………………………………………………………………………………………………………3

2. МЕТА РОБОТИ……………………………………………………………………………………………......3

3. ЗАВДАННЯ……………………………………………………………………………………………………3

4. ВИЗНАЧЕННЯ ПЕРЕЛІКУ ОБ’ЄКТІВ, ЯКІ ПІДЛЯГАЮТЬ ЗАХИСТУ.
ПОБУДОВА МОДЕЛЕЙ ОБ’ЄКТІВ………………………………………………………………………5

5. ВИЗНАЧЕННЯ ТА АНАЛІЗ ПОВНОЇ МНОЖИНИ ДЕСТАБІЛІЗУЮЧИХ
ФАКТОРІВ. ПОБУДОВА МАТРИЦІ ЗАГРОЗ…………………………………………………………….10

6. ПОБУДОВА МОДЕЛІ ПОРУШНИКА……………………………………………………………………..28

7. ПОЛІТИКА БЕЗПЕКИ……………………………………………………………………………………… 31

8. РОЗРОБЛЕННЯ СИСТЕМИ ЗАХИСТУ ОБ’ЄКТІВ…………………………………….............................33

9. РЕАЛІЗАЦІЯ ПЛАНУ ЗАХИСТУ ІНФОРМАЦІЇ………………………………………………………....36

10. КОНТРОЛЬ ФУНКЦІОНУВАННЯ І КЕРУВАННЯ СИСТЕМОЮ ТЗІ…………….……………………38

11. ВИСНОВОК………………………………………………………………………………………………….38

12. Н А К А З “ПРО ОРГАНІЗАЦІЮ ЗАХИСТУ ТЕХНІЧНИХ ЗАСОБІВ ОРГАНУ, ЩОДО ЯКОГО ЗДІЙСНЮЄТЬСЯ ТЗІ ВІД ВИТОКУ ІНФОРМАЦІЇ ТЕХНІЧНИМИ КАНАЛАМИ”.……..………….39

13. АКТ КАТЕГОРІЮВАННЯ ………………………………………………………………... ………………41

14. ПАСПОРТ НА ПРИМІЩЕННЯ…………………………………………………………………………….42

15. ДЛЯ СЛУЖБОВОГО КОРИСТУВАННЯ…………………………………………………………………44

16. АКТ ПРИЙМАННЯ РОБІТ…………………………………………………………………………………47

17. НАКАЗ ПРО ПРОВЕДЕННЯ ОБСТЕЖЕННЯ УМОВ ІНФОРМАЦІЙНОЇ ДІЯЛЬНОСТІ…………………………………………………………………………………........................48

18. ПЕРЕЛІК ІНФОРМАЦІЇ З ОБМЕЖЕНИМ ДОСТУПОМ ……………………………………………….50
19. АКТ ПРО ПОРЯДОК ТА ОРГАНІЗАЦІЮ ПРОВЕДЕННЯ РОБІТ НА КПП……………………………51

20. АКТ ПРО ПРОВЕДЕННЯ ПОЛІТИКИ БЕЗПЕКИ НА ЦЕНТРУ ГЕОІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ……………..53

21. ПЛАН ПРОВЕДЕННЯ ЗАХИСНИХ ЗАХОДІВ ДЛЯ ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІзОД ВІД ВИТОКУ ЗА МЕЖІ КОНТРОЛЬОВАНИХ ЗОН……………………………………………………………………...58

22. ПЛАН ОБ’ЄКТУ ЗАХИСТУ…………………………………………………………………………….. ...60

23. СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ………………………………………………………………..62

Содержимое работы - 1 файл

курсовая_ТЗИ.doc

— 5.07 Мб (Скачать файл)

 

 

Матриця загроз відносно   технічних пристроїв, розміщених в  кімнаті №1, враховуючи попередні  висновки та матриці загроз по відношенню до закріпленого тут персоналу:

 

Т.Ф.

Система супутникового  телебачення

Принтер

Лампа денного світла

Персональ -

ний

комп’ют ер

Сканер

Мережа електро

живле -ння

Система пожежної сигналізації

Я.Н.

підміна тюнера, крадіжка елементів супутникового телебачення.

зміна (погіршення) властивостей та якості приладів та їх частин.

підміна елементів ламп

зміна (погіршення) властивостей та якості як ПК в цілому, так і  його частин (зміна швидкості обертів  вентиляторів, заміна шлейфів, підміна  жорстких дисків та інших носіїв інформації).

зміна (погіршення) властивостей та якості приладів та їх частин.

підміна кабелів та з’єднувальних  дротів, на менш якісні

Поломка системи,  деякого  датчика, фальшива тривога

К.Н.

крадіжка сателітної антени, тюнера тощо.

крадіжка приладів та їх частин.

крадіжка частин ламп.

фізична недостатність  ПК та їх елементів (жорстких дисків).

крадіжка приладів та їх частин.

крадіжка кабелів та з’єднувальних дротів

Крадіжка елементів  системи

В.

Е.

пошкодження параболічної антени, або пошкодження ПЗ

пошкодження приладів та ПЗ.

пошкодження.

порушення працездатності ПК та їх елементів.

пошкодження приладів та ПЗ.

пошкодження та крадіжка кабелів та з’єднувальних дротів

Спричинення  несправності

З.

Е.

пошкодження ПЗ.

пошкодження ПЗ.

пошкодження.

тимчасове порушення  працездатності, наприклад, внаслідок  стрибка напруги.

пошкодження ПЗ.

-

-

П.Е.

-

пошкодження елементів  пристроїв та ПЗ, з’єднувальних  кабелів.

-

помилки ПЗ спричинені неправильною роботою ПК.

пошкодження елементів  пристроїв та ПЗ, з’єднувальних  кабелів.

-

-

С.Л.

обрив ліній живлення, поломка сателітної антени внаслідок катастроф.

обрив ліній живлення внаслідок катастроф

обрив ліній живлення внаслідок катастроф.

випадкові незалежні  від людини явища, що руйнують елементи ПК, наприклад, знеструмлення внаслідок  обриву лінії електроживлення, що було спричинені зливою, буревієм тощо

обрив ліній живлення внаслідок катастроф

обрив ліній живлення внаслідок катастроф

 

 

-

З.

Д.

доступ до інформації через лінії електроживлення, через  ВЧ – кабель.

отримання ІзОД, її несанкціоноване  копіювання, зняття інформації, що має гриф таємно або просто цінної інформації.

доступ до інформації через лінії електроживлення, та через лампи, що є джерелом ПЕМВН, підміна результатів експериментів  внаслідок зміни кліматичних  умов.

пошкодження, крадіжка та підміна елементів ПК, копіювання ІзОД, зняття ПЕМВН.

отримання ІзОД, її несанкціоноване  копіювання, зняття інформації, що має  гриф таємно або просто цінної інформації.

підміна та крадіжка кабелів  та з’єднувальних дротів, встановлення на них закладок, зняття ПЕМВН.

Поломка системи або окремого її елемента , встановлення на них закладок, зняття ПЕМВН

П.

Я.

зняття ПЕМВН.

 

зняття ПЕМВН.

зняття ПЕМВН

електромагнітні випромінювання, що виникають внаслідок роботи ПК на системному блоці та моніторі.

зняття ПЕМВН.

зняття ПЕМВН

зняття ПЕМВН


 

 

 

 

 

 

 

 

 

 

 

 

 

Побудова моделі порушника

 

Порушник - це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.  

Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії  тощо.       

 

  Модель порушника – це абстрактний формалізований або неформалізований опис порушника. Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.

Під час розробки моделі порушника визначаються:

  • припущення щодо категорії осіб, до яких може належати порушник;
  • припущення щодо мотивів дій порушника (цілей, які він переслідує);
  • припущення щодо рівня кваліфікації та обізнаності порушника та його технічної оснащеності (щодо методів та засобів, які використовуються при здійсненні порушень);
  • обмеження та припущення щодо характеру можливих дій порушників (за часом та місцем дії та інші).

 

 

 

Визначення категорії

Мотив порушення

Рівень кваліфікації та обізнаності щодо АС .

Можливості  використання засобів та методів  подолання системи захисту.

Специфікація  моделі порушника за часом дії

Специфікація  моделі порушника за місцем дії

Сумарний рівень загрози

Внутрішні по відношенню до АС

Технічний персонал, який обслуговує будови та приміщення  в  яких розташовані компоненти АС (1)

М1-3 (3)

К1-5

(3)

З1-5

(4)

Ч2

(2)

Д3

(2)

15

Персонал, який обслуговує технічні засоби (інженери, техніки) (2)

М1-3 (3)

К1-5

(3)

З1-5

(4)

Ч1-4

(4)

Д4

(2)

18

Працівники(лаборанти) АС (2)

М1-3 (3)

К1-5

(3)

З1-5

(4)

Ч2-4

(4)

Д4-5

(3)

19

Співробітники підрозділів (підприємств) розробки та супроводження програмного забезпечення (3)

М1-3 (3)

К1-6

(4)

З1-4

(3)

Ч1-4

(4)

Д1-6

(4)

21

Адміністратори ЛОМ (3)

М1-3 (3)

К1-6

(4)

З1-4

(3)

Ч-4

(4)

Д3-5

(3)

20

Співробітники служби захисту  інформації (4)

М1-3 (3)

К1-6

(4)

З1-5

(4)

Ч-4

(4)

Д4-6

(4)

23

Керівники різних рівнів посадової ієрархії (4)

М1-3 (3)

К1-6

(4)

З1-5

(4)

Ч-4

(4)

Д4-6

(4)

23

Зовнішні по відношенню до АС

Будь-які особи, що знаходяться  за межами контрольованої зони.(1)

М2-4

(4)

К1-5

(3)

З1-4

(3)

Ч-4

(4)

Д1

(1)

16

Представники організацій, що взаємодіють з питань технічного забезпечення (енерго-, водо-, теплопостачання  і таке інше)(2)

М1-3

(3)

К1-5

(3)

З1-4

(3)

Ч-2

(2)

Д2-3

(2)

15

Хакери (3)

М2-4

(4)

К1-5

(3)

З4

(3)

Ч-4

(4)

Д1

(1)

18

Співробітники закордонних спецслужб або особи, які діють за їх завданням (4)

М4

(4)

К1-5

(3)

З1-5

(4)

Ч1-4

(4)

Д1-3

(2)

21




Як видно з даної  моделі можливих комбінацій порушників щодо АС є дуже багато, крім того, можлива змова порушників і виникнення змішаної моделі, прогнозування якої є більш складнішим, тому зупинимося лише на найнебезпечніших. Виділимо  кілька можливих типів порушників, на які повинна бути орієнтована система захисту, що проектується. З внутрішніх по відношенню до АС порушників найбільшу загрозу, як не дивно, несуть співробітники служби захисту інформації та керівники різних рівнів посадової ієрархії. Саме ці  особи мають найбільший рівень доступу до елементів АС, і відповідно до інформації, що в ній знаходиться. Тому однією з основних вимог в побудові системи захисту в майбутньому є обмеження цих повноважень і затвердження відповідальності за їх порушення в офіційній документації.

      З зовнішніх по відношенню до АС порушників особливу увагу слід звернути на хакерів і співробітників закордонних спецслужб. Оскільки дане підприємство займається дослідженням біологічних сполук, його діяльність може викликати значний інтерес з боку інших держав. Потрібно налагодити особливий відбір осіб у персонал АС. Значну увагу також слід приділити системі захисту ЛОМ від НСД.

ІV. Політика безпеки

Під поняттям політики безпеки інформації розуміється організована сукупність документованих керівних рішень, спрямованих на захист інформації та асоційованих з нею ресурсів системи. ПБ викладає систему поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу реалізованого в системі комплексу заходів з захисту інформації.

Формуючи окрему ПБ, виділяють такі її компоненти: формулювання проблеми, визначення позиції організації, визначення сфери поширення, ролей і відповідальності, а також призначення осіб для контактів у даному питанні.

Серед ПБ найбільш відомі дискреційна , мандатна та рольова.

У РПБ класичне поняття  суб’кт заміщується поняттям користувач і роль. Користувач – це людина, яка працює з системою і виконує певні службові обов’язки. Роль – це активна діюча в системі абстрактна сутність, з якою пов’язаний обмежений, логічно зв’язаний набір повноважень, необхідних для здійснення певної діяльності.

        При використанні РПБ керування  доступом здійснюється в дві стадії:

  1. для кожної ролі вказується набір повноважень, що являють собою набір прав до об’єктів;
  2. кожному користувачеві призначається список доступних йому ролей.

Зокрема, ієрархічна організація ролей  являє собою найпоширеніший тип  рольової моделі, оскільки вона дуже точно відображає реальне відношення підпорядкованості між учасниками процесів обробки інформації і розподіл між ними сфер відповідальності. Ролі в ієрархії упорядковуються за рівнем наданих повноважень. Чим вища роль в ієрархії, тим більше з нею пов”язано повноважень, оскільки вважається, що коли користувачу надана деяка роль, то йому автоматично призначаються і всі підпорядковані їй за ієрархією ролі

РПБ може використовуватися одночасно  з іншими ПБ, коли повноваження ролей, що призначаються користувачам, контролюються ДПБ або МПБ, що дає змогу будувати схеми контролю доступу.

У центрі досліджень є наявним такий  персонал: системний адміністратор, користувачі, технічний персонал (наладчики  програмного забезпечення), СБ, технічні працівники. На основі яких розділимо права доступу та повноваження і призначимо певні ролі до технічних засобів, виготовленої продукції і документації, яка стосується досліджень.

З переліченого персоналу видно, що його можна зобразити у вигляді  певної ієрархії. Це дає змогу зробити певні висновки і дозволяє з переліченого списку вибрати РПБ, оскільки вона дуже точно відображає реальне відношення підпорядкованості між учасниками процесів обробки інформації і розподіл між ними сфер відповідальності. Тому для даного персоналу використаємо модель двох ролей, а саме вищу і нищу.

 СБ, системному адміністратору  і тех. персоналу ПЗ  призначимо  вищу роль, яку в свою чергу  умовно поділимо ще на дві:  головну і побічну, а технічним  працівникам і користувачам нищу  роль. Тех. персоналу і працівникам СБ ( проте діяльність СБ контролюється особами з вищих щаблів ієрархії) присуджується головна роль з усіма правами доступу до технічних засобів і повної інформації, що циркулює в системі центру центру, адміністратору ЛОМ який має усі права доступу до інформації у електронному вигляді, проте обмежений доступом до документації, що не входить до його компетенції. Користувачі отримують частковий доступ до ЛОМ, так як реалізація їхніх обов’язків без цього є неможливою, а також мають права доступу до комплексу дослідження та синтезу біологічних сполук, проте мають обмеження стосовно комунікаційних пристроїв.

Для безпечного функціонування даної організації розроблено систему  захисту ТЗІ та ІзОД. Причому, за допомогою ТЗІ здійснюється своєчасне виявлення та знешкодження загроз щодо ІзОД. На підставі розробленої системи документації та аналізу різноманітних моделей загроз і порушників визначаються задачі по ЗІ, розробляються заходи для закупівлі, встановлення та реалізації ТЗІ.

Система захист ІзОд передбачає одночасне застосування систем інженерно-технічних споруд паралельно з засобами забезпечення ТЗІ.

 

Для здійснення побудови системи ІБ слід:

    • здійснити цілодобовий нагляд за прилеглою територією та охоронною територією згідно затверджених правил;
    • робити обхід території що дві години у супроводі двох дресированих собак;
    • встановити та слідкувати за системою пожежної сигналізації та відео спостереженням, сенсорами руху тощо;
    • встановити броньовані двері;
    • встановити грати на всі вікна, обклеївши їх перед цим спеціальною плівкою, що унеможливлює оптичне зчитування даних, створювати завади в роботі АС, а також через дію ПЕМВ чи ультразвукових приладів  здійснювати будь-який витік інформації за межі приміщення організації;
    • здійснювати запис відео спостереження;
    • вести системний журнал реєстрації, політику ІБ, резервувати раз на тиждень у визначений час усі дані, якими оперує суб’єкт, а також синхронізувати усі годинники із системним;
    • ознайомити призначених для цього працівників з їх правами та обов’язками, видати їм необхідні документи та ознайомити з принципом роботи АС системою доступу до кімнат №2, 3, 5 та 6;
    • встановити та задіяти систему охорони периметру;
    • задіяти систему вимірювання інформативних ПЕМВ та наводок;
    • задіяти систему оцінки відповідності рівнів сигналів і параметрів полів, які є носіями ІзОД, і в разі необхідності змінити їх до рівня норми ефективності захисту ІзОД;
    • встановити допоміжний резервний генератор живлення для підтримки працездатності АС в разі  природних катастроф або інших непередбачених випадках;
    • провести заземлення і інші кабелі у захисну металічну оболонку, що екранує їх інформаційне поле;
    • установити та активувати в КМ антивірусний сканер, фаєрвол, систему криптографічного захисту та систему легування усіх подій;
    • задіяти профілі доступу до інформації для робітників згідно їх привілегій та робочих потреб.
    • Затвердити нормативно-правову базу щодо ІБ підприємства       

V. Розроблення системи захисту об’єктів.

Система безпеки, побудована на вибраних засобах захисту повинна відповідати певним вимогам, тобто бути:

    • безперервною,
    • плановою,
    • централізованою,
    • цілеспрямованою,
    • конкретизованою,
    • активною,
    • надійною,
    • універсальною,
    • комплексною. 

Для випадку, коли об’єктом захисту виступає інформація, основою  функціонування системи заходів є комплексний план ТЗІ. На підставі аналізу матеріалів обстеження та окремих моделей загроз (на об’єкті, щодо якого здійснюється ТЗІ може бути складена загальна модель) визначаються головні та часткові (біжучі) задачі захисту інформації, розробляються організаційні, первинні та основні технічні заходи щодо ТЗІ та вказівки про порядок їх реалізації.

З метою впорядкування  нормативно-документальної бази органу, щодо якого здійснюється ТЗІ повинні  бути розроблені переліки наявних розпорядчих, організаційно-методичних, нормативних документів щодо ТЗІ та вказівок щодо їх використання. Одночасно розробляються та затверджуються керівництвом інструкції, які встановлюють обов’язки, права та відповідальність особового складу органу, щодо якого здійснюється ТЗІ.

Основою функціонування системи заходів захисту інформації є комплексний план ТЗІ. На підставі аналізу матеріалів обстеження та окремих моделей загроз визначаються головні та часткові задачі захисту інформації, розробляється організаційні, первинні та основні технічні заходи щодо ТЗІ та вказівки про порядок їх реалізації.

Оскільки три персональних комп’ютерів з’єднані в локальну мережу і мають вихід в Інтернет, то необхідно забезпечити захист інформації з боку потрапляння з  нього різноманітних вірусів  та інших програм, які б порушували цілісність інформації. Одним з варіантів запобігання потрапляння вірусів з Інтернету непотрібної інформації є встановлення на комп’ютерах антивірусні програми, а також FireWall.

 З метою впорядкування  нормативно-документальної бази органу, щодо якого здійснюється ТЗІ повинні бути розроблені переліки наявних розпорядчих, організаційно-методичних, нормативних документів щодо ТЗІ та вказівок щодо їх використання. Одночасно розробляються та затверджуються керівництвом інструкції, які встановлюють обов’язки, права та відповідальність особового складу органу, щодо якого здійснюється ТЗІ. В даному випадку будуть діяти Закони України „Про інформацію”, “Про власність”, “Про державну таємницю”.

Информация о работе Організація режиму секретності на державних підприємствах та в установах. Організація та обладнання режимно – секретних органів