Автор работы: Пользователь скрыл имя, 21 Декабря 2012 в 13:23, курсовая работа
нформаційна сфера відіграє важливу роль у забезпеченні безпеки всіх сфер життєдіяльності суспільства. Через цю сферу реалізується значна частина загроз національній безпеці держави.
Одними з основних джерел загроз інформаційної безпеки є діяльність іноземних розвідувальних і спеціальних служб, злочинних співтовариств, організацій, груп, формувань, і протизаконна діяльність окремих осіб, спрямована на збір чи розкрадання цінної інформації, закритої для доступу сторонніх осіб. Причому в останні роки пріоритет у даній сфері діяльності зміщається в економічну область.
1. ВСТУП…………………………………………………………………………………………………………3
2. МЕТА РОБОТИ……………………………………………………………………………………………......3
3. ЗАВДАННЯ……………………………………………………………………………………………………3
4. ВИЗНАЧЕННЯ ПЕРЕЛІКУ ОБ’ЄКТІВ, ЯКІ ПІДЛЯГАЮТЬ ЗАХИСТУ.
ПОБУДОВА МОДЕЛЕЙ ОБ’ЄКТІВ………………………………………………………………………5
5. ВИЗНАЧЕННЯ ТА АНАЛІЗ ПОВНОЇ МНОЖИНИ ДЕСТАБІЛІЗУЮЧИХ
ФАКТОРІВ. ПОБУДОВА МАТРИЦІ ЗАГРОЗ…………………………………………………………….10
6. ПОБУДОВА МОДЕЛІ ПОРУШНИКА……………………………………………………………………..28
7. ПОЛІТИКА БЕЗПЕКИ……………………………………………………………………………………… 31
8. РОЗРОБЛЕННЯ СИСТЕМИ ЗАХИСТУ ОБ’ЄКТІВ…………………………………….............................33
9. РЕАЛІЗАЦІЯ ПЛАНУ ЗАХИСТУ ІНФОРМАЦІЇ………………………………………………………....36
10. КОНТРОЛЬ ФУНКЦІОНУВАННЯ І КЕРУВАННЯ СИСТЕМОЮ ТЗІ…………….……………………38
11. ВИСНОВОК………………………………………………………………………………………………….38
12. Н А К А З “ПРО ОРГАНІЗАЦІЮ ЗАХИСТУ ТЕХНІЧНИХ ЗАСОБІВ ОРГАНУ, ЩОДО ЯКОГО ЗДІЙСНЮЄТЬСЯ ТЗІ ВІД ВИТОКУ ІНФОРМАЦІЇ ТЕХНІЧНИМИ КАНАЛАМИ”.……..………….39
13. АКТ КАТЕГОРІЮВАННЯ ………………………………………………………………... ………………41
14. ПАСПОРТ НА ПРИМІЩЕННЯ…………………………………………………………………………….42
15. ДЛЯ СЛУЖБОВОГО КОРИСТУВАННЯ…………………………………………………………………44
16. АКТ ПРИЙМАННЯ РОБІТ…………………………………………………………………………………47
17. НАКАЗ ПРО ПРОВЕДЕННЯ ОБСТЕЖЕННЯ УМОВ ІНФОРМАЦІЙНОЇ ДІЯЛЬНОСТІ…………………………………………………………………………………........................48
18. ПЕРЕЛІК ІНФОРМАЦІЇ З ОБМЕЖЕНИМ ДОСТУПОМ ……………………………………………….50
19. АКТ ПРО ПОРЯДОК ТА ОРГАНІЗАЦІЮ ПРОВЕДЕННЯ РОБІТ НА КПП……………………………51
20. АКТ ПРО ПРОВЕДЕННЯ ПОЛІТИКИ БЕЗПЕКИ НА ЦЕНТРУ ГЕОІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ……………..53
21. ПЛАН ПРОВЕДЕННЯ ЗАХИСНИХ ЗАХОДІВ ДЛЯ ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІзОД ВІД ВИТОКУ ЗА МЕЖІ КОНТРОЛЬОВАНИХ ЗОН……………………………………………………………………...58
22. ПЛАН ОБ’ЄКТУ ЗАХИСТУ…………………………………………………………………………….. ...60
23. СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ………………………………………………………………..62
Матриця загроз відносно технічних пристроїв, розміщених в кімнаті №1, враховуючи попередні висновки та матриці загроз по відношенню до закріпленого тут персоналу:
Т.Ф. |
Система супутникового телебачення |
Принтер |
Лампа денного світла |
Персональ - ний комп’ют ер |
Сканер |
Мережа електро живле -ння |
Система пожежної сигналізації |
Я.Н. |
підміна тюнера, крадіжка
елементів супутникового |
зміна (погіршення) властивостей та якості приладів та їх частин. |
підміна елементів ламп |
зміна (погіршення) властивостей та якості як ПК в цілому, так і його частин (зміна швидкості обертів вентиляторів, заміна шлейфів, підміна жорстких дисків та інших носіїв інформації). |
зміна (погіршення) властивостей та якості приладів та їх частин. |
підміна кабелів та з’єднувальних дротів, на менш якісні |
Поломка системи, деякого датчика, фальшива тривога |
К.Н. |
крадіжка сателітної антени, тюнера тощо. |
крадіжка приладів та їх частин. |
крадіжка частин ламп. |
фізична недостатність ПК та їх елементів (жорстких дисків). |
крадіжка приладів та їх частин. |
крадіжка кабелів та з’єднувальних дротів |
Крадіжка елементів системи |
В. Е. |
пошкодження параболічної антени, або пошкодження ПЗ |
пошкодження приладів та ПЗ. |
пошкодження. |
порушення працездатності ПК та їх елементів. |
пошкодження приладів та ПЗ. |
пошкодження та крадіжка кабелів та з’єднувальних дротів |
Спричинення несправності |
З. Е. |
пошкодження ПЗ. |
пошкодження ПЗ. |
пошкодження. |
тимчасове порушення працездатності, наприклад, внаслідок стрибка напруги. |
пошкодження ПЗ. |
- |
- |
П.Е. |
- |
пошкодження елементів пристроїв та ПЗ, з’єднувальних кабелів. |
- |
помилки ПЗ спричинені неправильною роботою ПК. |
пошкодження елементів пристроїв та ПЗ, з’єднувальних кабелів. |
- |
- |
С.Л. |
обрив ліній живлення, поломка сателітної антени внаслідок катастроф. |
обрив ліній живлення внаслідок катастроф |
обрив ліній живлення внаслідок катастроф. |
випадкові незалежні від людини явища, що руйнують елементи ПК, наприклад, знеструмлення внаслідок обриву лінії електроживлення, що було спричинені зливою, буревієм тощо |
обрив ліній живлення внаслідок катастроф |
обрив ліній живлення внаслідок катастроф |
- |
З. Д. |
доступ до інформації через лінії електроживлення, через ВЧ – кабель. |
отримання ІзОД, її несанкціоноване копіювання, зняття інформації, що має гриф таємно або просто цінної інформації. |
доступ до інформації
через лінії електроживлення, та
через лампи, що є джерелом ПЕМВН,
підміна результатів |
пошкодження, крадіжка та підміна елементів ПК, копіювання ІзОД, зняття ПЕМВН. |
отримання ІзОД, її несанкціоноване копіювання, зняття інформації, що має гриф таємно або просто цінної інформації. |
підміна та крадіжка кабелів та з’єднувальних дротів, встановлення на них закладок, зняття ПЕМВН. |
Поломка системи або окремого її елемента , встановлення на них закладок, зняття ПЕМВН |
П. Я. |
зняття ПЕМВН.
|
зняття ПЕМВН. |
зняття ПЕМВН |
електромагнітні випромінювання, що виникають внаслідок роботи ПК на системному блоці та моніторі. |
зняття ПЕМВН. |
зняття ПЕМВН |
зняття ПЕМВН |
Побудова моделі порушника
Порушник - це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.
Модель порушника – це абстрактний формалізований або неформалізований опис порушника. Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.
Під час розробки моделі порушника визначаються:
Визначення категорії |
Мотив порушення |
Рівень кваліфікації та обізнаності щодо АС . |
Можливості використання засобів та методів подолання системи захисту. |
Специфікація моделі порушника за часом дії |
Специфікація моделі порушника за місцем дії |
Сумарний рівень загрози |
Внутрішні по відношенню до АС | ||||||
Технічний персонал, який обслуговує будови та приміщення в яких розташовані компоненти АС (1) |
М1-3 (3) |
К1-5 (3) |
З1-5 (4) |
Ч2 (2) |
Д3 (2) |
15 |
Персонал, який обслуговує технічні засоби (інженери, техніки) (2) |
М1-3 (3) |
К1-5 (3) |
З1-5 (4) |
Ч1-4 (4) |
Д4 (2) |
18 |
Працівники(лаборанти) АС (2) |
М1-3 (3) |
К1-5 (3) |
З1-5 (4) |
Ч2-4 (4) |
Д4-5 (3) |
19 |
Співробітники підрозділів (підприємств) розробки та супроводження програмного забезпечення (3) |
М1-3 (3) |
К1-6 (4) |
З1-4 (3) |
Ч1-4 (4) |
Д1-6 (4) |
21 |
Адміністратори ЛОМ (3) |
М1-3 (3) |
К1-6 (4) |
З1-4 (3) |
Ч-4 (4) |
Д3-5 (3) |
20 |
Співробітники служби захисту інформації (4) |
М1-3 (3) |
К1-6 (4) |
З1-5 (4) |
Ч-4 (4) |
Д4-6 (4) |
23 |
Керівники різних рівнів посадової ієрархії (4) |
М1-3 (3) |
К1-6 (4) |
З1-5 (4) |
Ч-4 (4) |
Д4-6 (4) |
23 |
Зовнішні по відношенню до АС | ||||||
Будь-які особи, що знаходяться за межами контрольованої зони.(1) |
М2-4 (4) |
К1-5 (3) |
З1-4 (3) |
Ч-4 (4) |
Д1 (1) |
16 |
Представники організацій, що взаємодіють з питань технічного забезпечення (енерго-, водо-, теплопостачання і таке інше)(2) |
М1-3 (3) |
К1-5 (3) |
З1-4 (3) |
Ч-2 (2) |
Д2-3 (2) |
15 |
Хакери (3) |
М2-4 (4) |
К1-5 (3) |
З4 (3) |
Ч-4 (4) |
Д1 (1) |
18 |
Співробітники закордонних спецслужб або особи, які діють за їх завданням (4) |
М4 (4) |
К1-5 (3) |
З1-5 (4) |
Ч1-4 (4) |
Д1-3 (2) |
21 |
Як видно з даної моделі можливих комбінацій порушників щодо АС є дуже багато, крім того, можлива змова порушників і виникнення змішаної моделі, прогнозування якої є більш складнішим, тому зупинимося лише на найнебезпечніших. Виділимо кілька можливих типів порушників, на які повинна бути орієнтована система захисту, що проектується. З внутрішніх по відношенню до АС порушників найбільшу загрозу, як не дивно, несуть співробітники служби захисту інформації та керівники різних рівнів посадової ієрархії. Саме ці особи мають найбільший рівень доступу до елементів АС, і відповідно до інформації, що в ній знаходиться. Тому однією з основних вимог в побудові системи захисту в майбутньому є обмеження цих повноважень і затвердження відповідальності за їх порушення в офіційній документації.
З зовнішніх по відношенню до АС порушників особливу увагу слід звернути на хакерів і співробітників закордонних спецслужб. Оскільки дане підприємство займається дослідженням біологічних сполук, його діяльність може викликати значний інтерес з боку інших держав. Потрібно налагодити особливий відбір осіб у персонал АС. Значну увагу також слід приділити системі захисту ЛОМ від НСД.
ІV. Політика безпеки
Під поняттям політики безпеки інформації розуміється організована сукупність документованих керівних рішень, спрямованих на захист інформації та асоційованих з нею ресурсів системи. ПБ викладає систему поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу реалізованого в системі комплексу заходів з захисту інформації.
Формуючи окрему ПБ, виділяють такі її компоненти: формулювання проблеми, визначення позиції організації, визначення сфери поширення, ролей і відповідальності, а також призначення осіб для контактів у даному питанні.
Серед ПБ найбільш відомі дискреційна , мандатна та рольова.
У РПБ класичне поняття суб’кт заміщується поняттям користувач і роль. Користувач – це людина, яка працює з системою і виконує певні службові обов’язки. Роль – це активна діюча в системі абстрактна сутність, з якою пов’язаний обмежений, логічно зв’язаний набір повноважень, необхідних для здійснення певної діяльності.
При використанні РПБ
Зокрема, ієрархічна організація ролей являє собою найпоширеніший тип рольової моделі, оскільки вона дуже точно відображає реальне відношення підпорядкованості між учасниками процесів обробки інформації і розподіл між ними сфер відповідальності. Ролі в ієрархії упорядковуються за рівнем наданих повноважень. Чим вища роль в ієрархії, тим більше з нею пов”язано повноважень, оскільки вважається, що коли користувачу надана деяка роль, то йому автоматично призначаються і всі підпорядковані їй за ієрархією ролі
РПБ може використовуватися одночасно з іншими ПБ, коли повноваження ролей, що призначаються користувачам, контролюються ДПБ або МПБ, що дає змогу будувати схеми контролю доступу.
У центрі досліджень є наявним такий персонал: системний адміністратор, користувачі, технічний персонал (наладчики програмного забезпечення), СБ, технічні працівники. На основі яких розділимо права доступу та повноваження і призначимо певні ролі до технічних засобів, виготовленої продукції і документації, яка стосується досліджень.
З переліченого персоналу видно, що його можна зобразити у вигляді певної ієрархії. Це дає змогу зробити певні висновки і дозволяє з переліченого списку вибрати РПБ, оскільки вона дуже точно відображає реальне відношення підпорядкованості між учасниками процесів обробки інформації і розподіл між ними сфер відповідальності. Тому для даного персоналу використаємо модель двох ролей, а саме вищу і нищу.
СБ, системному адміністратору
і тех. персоналу ПЗ призначимо
вищу роль, яку в свою чергу
умовно поділимо ще на дві:
головну і побічну, а
Для безпечного функціонування даної організації розроблено систему захисту ТЗІ та ІзОД. Причому, за допомогою ТЗІ здійснюється своєчасне виявлення та знешкодження загроз щодо ІзОД. На підставі розробленої системи документації та аналізу різноманітних моделей загроз і порушників визначаються задачі по ЗІ, розробляються заходи для закупівлі, встановлення та реалізації ТЗІ.
Система захист ІзОд передбачає одночасне застосування систем інженерно-технічних споруд паралельно з засобами забезпечення ТЗІ.
Для здійснення побудови системи ІБ слід:
V. Розроблення системи захисту об’єктів.
Система безпеки, побудована на вибраних
засобах захисту повинна
Для випадку, коли об’єктом захисту виступає інформація, основою функціонування системи заходів є комплексний план ТЗІ. На підставі аналізу матеріалів обстеження та окремих моделей загроз (на об’єкті, щодо якого здійснюється ТЗІ може бути складена загальна модель) визначаються головні та часткові (біжучі) задачі захисту інформації, розробляються організаційні, первинні та основні технічні заходи щодо ТЗІ та вказівки про порядок їх реалізації.
З метою впорядкування нормативно-документальної бази органу, щодо якого здійснюється ТЗІ повинні бути розроблені переліки наявних розпорядчих, організаційно-методичних, нормативних документів щодо ТЗІ та вказівок щодо їх використання. Одночасно розробляються та затверджуються керівництвом інструкції, які встановлюють обов’язки, права та відповідальність особового складу органу, щодо якого здійснюється ТЗІ.
Основою функціонування системи заходів захисту інформації є комплексний план ТЗІ. На підставі аналізу матеріалів обстеження та окремих моделей загроз визначаються головні та часткові задачі захисту інформації, розробляється організаційні, первинні та основні технічні заходи щодо ТЗІ та вказівки про порядок їх реалізації.
Оскільки три персональних комп’ютерів з’єднані в локальну мережу і мають вихід в Інтернет, то необхідно забезпечити захист інформації з боку потрапляння з нього різноманітних вірусів та інших програм, які б порушували цілісність інформації. Одним з варіантів запобігання потрапляння вірусів з Інтернету непотрібної інформації є встановлення на комп’ютерах антивірусні програми, а також FireWall.
З метою впорядкування
нормативно-документальної