Технічний захист інформації

Побудова комплексної системи захисту інформації на OOO "Віпіком". Забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації. Своєчасне виявлення і протидія загрозам безпеці інформації з обмеженим доступом.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык украинский
Дата добавления 05.01.2014
Размер файла 343,5 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

КУРСОВА РОБОТА

Технічний захист інформації

Зміст

Перелік умовних скорочень

Вступ

1. Характеристика ОІД ООО «Віпіком»

2. Інформація підлягає охороні підприємства. ООО «Віпіком»

3. Розробка схеми інформаційних потоків ООО «Віпіком»

4. Акт категоріювання інформації відділу телефонного стягнення ООО «Віпіком»

5. Акт обстеження об'єкту інформаційної діяльності ООО «Віпіком»

6. Побудова моделі порушника ООО «Віпіком»

7. Побудова моделі загроз інформаційної безпеки ООО «Віпіком»

8. Аналіз існуючої системи захисту інформації ООО «Віпіком»

Висновки

Перелік посилань

Додаток А Ситуаційний план OOO «Віпіком»

Додаток Б Генеральний план ООО «Віпіком»

Список умовних позначень, символів, одиниць, скорочень та термінів

АС - автоматизована система

АТС - автоматична телефонна станція

ДТЗС - допоміжні технічні засоби або системи

КЗ - контрольована зона

КСЗІ - комплексна система захисту інформації

КЗЗ - комплекс засобів захисту

НД - нормативний документ

ОІД - об'єкт інформаційної діяльності

ОТЗ - основні технічні засоби

ОТР - об'єкт технічної розвідки

ПЕМВН - побічні електромагнітні випромінювання та наведення

СЗІ - служба захисту інформації

ТЗ - технічне завдання

ТЗІ - технічний захист інформації

ТР - технічна розвідка

ТКВІ - технічні канали витоку інформації

ТЗПІ - технічні засоби пересилання, оброблення, збереження, відображення інформації.

ЛОМ - Локальна обчислювальна мережа

ЗОТ - засіб обчислювальної техніки

ВСТУП

Предмет дослідження - комплексна система захисту інформації на OOO «Віпіком». Побудова комплексної системи захисту інформації на підприємстві складний процес, багато в чому залежить від правильного розуміння діяльності організації, форми власності, внутрішніх процесів, розмірів і тд. Вихідними даними для курсового проектування служить деякий варіант завдання відображає в собі характеристики досліджуваного об'єкта.

Система ТЗІ - сукупність суб'єктів, об'єднаних цілями та завданнями захисту інформації інженерно-технічними заходами, нормативно-правова та їхня матеріально-технічна база.

Комплексна система захисту інформації (КСЗІ) - сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС.

Технічний захист інформації (ТЗІ) - діяльність, спрямована на:

забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації;

своєчасне виявлення і протидію загрозам безпеці інформації з обмеженим доступом (ІзОД).

Технічне завдання на створення КСЗІ в АС (ТЗ на КСЗІ) є засадничим організаційно-технічним документом для виконання робіт щодо забезпечення захисту інформації в системі.

Технічне завдання на КСЗІ розробляється у разі необхідності розробки або модернізації КСЗІ існуючої (що функціонує) АС. В разі розробки КСЗІ в процесі проектування АС допускається оформлення вимог з захисту інформації в АС у вигляді окремого (часткового) ТЗ, доповнення до загального ТЗ на АС або розділу загального ТЗ на АС.

Технічне завдання на КСЗІ повинно розробляється з урахуванням комплексного підходу до побудови КСЗІ, який передбачає об'єднання в єдину систему всіх необхідних заходів і засобів захисту від різноманітних загроз безпеці інформації на всіх етапах життєвого циклу АС.

В технічному завданні на КСЗІ викладаються вимоги до функціонального складу і порядку розробки і впровадження технічних засобів, що забезпечують безпеку інформації в процесі її оброблення в обчислювальній системі АС. Інформаційні потоки - це фізичне переміщення інформації від одного співробітника підприємства до іншого або від одного підрозділу до іншого. Мета роботи з інформаційними потоками - оптимізація роботи підприємства.

Система інформаційних потоків - сукупність фізичних переміщень інформації, яка дає можливість здійснити будь-який процес, реалізувати рішення. Найбільш загальна система інформаційних потоків - це сума потоків інформації, яка дозволяє підприємству вести фінансово-господарську діяльність.

1. Характеристика компанії

ООО «Віпіком» почали свою діяльність у 2000 році як компанія по залучення клієнтів та підключенню нових абонентів к міські телекомунікаційні мережі. Залучення нових абонентів відбувається у телефонному режимі. Після того як людина дала згоду на підключення йому присвоюється особовий рахунок по якому він буде сплачувати послугу і пароль для доступу до особистого кабінету. Після цього відбувається підключення цього абонента до мережі.

2. Інформація підлягає охороні підприємства. ООО «Віпіком»

Конфіденційною інформацією є сервер, особисті даніперсоналу, інформація про компанії і клієнтів, паперові відліки і секретні папери підприємства.

3. Розробка схеми інформаційних потоків ООО «Віпіком»

захист інформація технічний протидія

Інформаційні потоки - це фізичне переміщення інформації від одного співробітника підприємства до іншого або від одного підрозділу до іншого. Мета роботи з інформаційними потоками - оптимізація роботи підприємства.

Система інформаційних потоків - сукупність фізичних переміщень інформації, яка дає можливість здійснити будь-який процес, реалізувати рішення. Найбільш загальна система інформаційних потоків - це сума потоків інформації, яка дозволяє підприємству вести фінансово-господарську діяльність.

Інформація, що циркулює в компанії і що має конфіденційний вигляд, зібрана і представлена в таблиці 3.1.

Таблиця 3.1 - Категоріювання інформації компанії

Найменування елемента інформації

Вид носія

Гриф

Найменування джерела інформації

Місцезнаходження джерела інформації

1

Посадові інструкції працівників компанії

Електронний, паперовий

конфіденційна

Директор

Відділ кадрів

2

Трудові договори співробітників, що працюють з конфіденційною інформацією

Електронний, паперовий

конфіденційна

Директор

Відділ кадрів

3

Договори, укладені з клієнтами

Електронний, паперовий

Комерційна таємниця

Бухгалтер

Бухгалтерія

4

Платіжні доручення та інші розрахунково-грошові документи

Електронний, паперовий

конфіденційна

Бухгалтер

Бухгалтерія

5

Аналітичні та фінансові звіти

Електронний, паперовий

конфіденційна

Директор

Відділ кадрів

6

Відомості про особисті рахунки

Електронний, паперовий

конфіденційна

Директора

Відділ кадрів

7

Узагальнена інформація та інші конфіденційні (обмеженого поширення) документи

Електронний, паперовий, мовний

конфіденційна

Співробітники компанії

Відділ по залучення нових абонентів

Мал.4.1 - Структурна схема інформаційного потоку компанії

Розглянемо інформаційні потоки підприємства на малюнку 4.1. Новий абонент (фізична або юридична особа) робить заявку у бухгалтера на потрібну йому послугу.

Бухгалтер оформляє договір і віддає клієнту. Оформлені договори надходять в відділ по підключенню нових абонентів для його підключення. Абонент передає гроші відповідно до договору який він склав бухгалтеру. Бухгалтер в свою чергу переводить гроші у банк.

Розробляється програма призначена для автоматизації підсистеми бухгалтерії. Основною одиницею інформації в системі є документ. Існує кілька видів документів: договір з юридичними особами , договір з фізичними особами.

Будь-який оформлений раніше документ можна викликати з бази даних і роздрукувати, відредагувати або видалити.

ООО «Віпіком»

ЗАТВЕРДЖУЮ

Директор

ООО «Віпіком»

Пірожок П.П.

АКТ категоріювання

Відділ по залучення нових абонентів компанії

м. Дніпропетровськ «20» квітня 2013 р.

Згідно з наказом Пірожок П.П. № 66 від 19.04.2013 р.

1.Комісія у складі:

Голови комісії відповідального за ТЗІ на ОІД Омон Т.В.; членів: експерта з засобів ТЗІ Фролов В.В. інженера з питань проектування систем ТЗІ Миршавка Д.В. в період з 20 по 23 квітня 2013 р. провела категоріювання

колл-центра компанії.

Комісією розглянуто та проаналізовано:

- ситуаційний план ОІД (додаток А);

- генеральний план ОІД (додаток Б);

Категоріюванню підлягають об'єкти, в яких обговорюється, мається, пересилається, приймається, перетворюється, накопичується, обробляється, відображається й зберігається інформація з обмеженим доступом (ІзОД).

До об'єктів, що підлягають категоріюванню, відносяться:

1. Приміщення, призначені для проведення нарад, конференцій, обговорень тощо з використанням ІзОД;

2. Приміщення, в яких розміщені АС, ЗОТ, інші технічні засоби, призначені для роботи з ІзОД, у тому числі й основані на криптографічних методах захисту.

3. Автоматизовані системи й засоби обчислювальної техніки, що діють й проектуються;

4. Технічні засоби, які призначені для роботи з ІзОД й не відносяться до АС, за винятком тих, що засновані на криптографічних методах захисту;

Категоріювання проводиться з метою вживання обґрунтованих заходів щодо захисту ІзОД, яка циркулює на об'єктах, вид витоку каналами побічних електромагнітних випромінювань й наводок, а також акустичних (віброакустичних) полів.

Комісія постановила:

1. Серед об'єктів на категоріювання слід виділити наступні: ПЕОМ, приміщення, в якому циркулює мовна ІзОД під час нарад, конференцій тощо та приміщення, в якому циркулює мовна ІзОД, під час бесід між співробітниками цього підприємства.

2. В колл-центре , де циркулює така інформація:

2.1 Мовна інформація (під час обслуговування клієнтів ) вголос, під час розмов між співробітниками компанії. Гриф - конфіденційно.

2.2 Інформація в ПЕОМ. Гриф обмеження доступу - конфіденційно.

3. ІзОД за ступенем секретності поділяються на :1 категорія - «особливої важливості», 2- категорія - «цілком таємні», 3 категорія - «таємні», 4 категорія - для службового користування.

Першому об'єкту, ПЕОМ, призначити четверту категорію. Другому об'єкту, приміщенню, де циркулює ІзОД під час для проведення нарад, конференцій, обговорень тощо, також призначити четверту категорію. Третьому об'єкту, приміщенню, де циркулює ІзОД під час розмов між співробітниками та розмов з клієнтами компанії, теж присвоїти четверту категорію.

4. У Наявності всі НД ТЗІ

Додатки:

- ситуаційний план ОІД (додаток А);

- генеральний план ОІД (додаток Б);

Голова комісії :

_________ Омон Т.В.

Члени комісії:

_________ Фролов В.В.

_________ Миршавка Д.В.

Кількість примірників - 1

ООО «Віпіком»

ЗАТВЕРДЖУЮ

Директор ООО

«Віпіком»

Пірожок П.П.

АКТ

обстеження об'єкта інформаційної діяльності

м. Дніпропетровськ «20» квітня 2013 р.

Згідно з наказом Пірожок П.П. № 15 від 19.04.2013 р.

1.Комісія у складі:

Голови комісії відповідального за ТЗІ на ОІД Омон Т.В.; членів: експерта з засобів ТЗІ Фролов В.В. інженера з питань проектування систем ТЗІ Фролов Д.В. в період з 20 по 23 квітня 2013 р. провела обстеження та оцінку захищеності інформації від витоку технічними каналами, а також від НСД до інформації, що обробляється в АС ОІД.

Комісією розглянуто та проаналізовано:

- ситуаційний план ОІД (додаток А);

- генеральний план ОІД (додаток Б);

- наявність НД ТЗІ

2. Відомості ООО «Віпіком»

2.1 Характеристика ОІД:

Будівля компанії ООО «Віпіком» знаходиться за адресою м. Дніпропетровськ, вул. Артьома 6, 6 поверх. Будівля являє собою офісну шести поверхову споруду. Вхід людей в будівлю здійснюється через контрольно-пропускний пункт завдяки електронного ключа.

2.2 Сусідні будівлі:

Із західного боку - парковка,

З південного боку - склад,

З східного боку - житловий будинок одноповерховий,

З північного боку - через проїжджу частину- двоповерхове будівлі житлової забудови.

Електроживлення будівлі забезпечується від трансформаторної підстанції (ТП), яка знаходиться за межею КЗ підприємства і обслуговується іншою організацією.

В будівлі компанії в кожному кабінеті по 2 вікна, згідно площ приміщення. Всі вікна металопластикові із двокамерним стекло пакетом, ізольовані від шуму. На вікнах встановлені жалюзі. Вікна з одного боку виходять на склади, з іншого - на дорогу.

Кількість радіаторів відповідає кількості вікон. Труби системи опалення пластикові і проходять по всіх поверхах, та закінчуються у бойлерній.

Фундамент будинку бетонний, стіни будинку - цегляні, перегородки - гіпсокартонні.

Товщина стін - 0,5м.

Товщина перегородки - 0,3м.

Перекриття між поверхами - залізобетонні плити. Покрівля будинку - горизонтальна, вкрита руберойдом з доданням теплоізоляції.

Кількість дверей відповідає кількості кабінетів в приміщенні.

Двері входу в будівлю - залізні з двома стальними листами 1.5 мм завтовшки, двома замками, каркасом із стальної труби та ребрами жорсткості.

Монтаж кабельних дротів - прихований.

Генератори віброакустичного зашумлення не встановлені.

Генератори електромагнітного шуму не встановлені.

В компанії відсутні відомості, що становлять державну таємницю, але ведеться робота з комерційною таємницею. Існує ряд нормативно-правових актів регламентуючих правила користування цими відомостями.

В компанії існує своя локальна мережа, доступ до якої мають лише співробітники підприємства. Інформація про кожен вихід в мережу фіксується системним адміністратором. Це також стосується і мережі Інтернет.

2.3 Система опалення, схеми електроживлення, система кондиціонування та пожежна сигналізація мають вихід за межі виділеного приміщення.

2.4 Система заземлення - виходить за межі КЗ. Тип заземлення - «TN-C». Даний тип заземлення влаштований таким чином: заземлювач (контур заземлення) встановлений на трансформаторній підстанції, до нього приєднаний нульовий провідник, який йде до споживача і виконує функцію робочого і захисного провідника.

2.5 За результатами обстеженню інформаційної безпеки існуючої системи безпеки підприємства було виявлено наступне:

- існуюча система захисту недостатньо надійна;

- винос документації по розробках не супроводжується підписанням документів про нерозголошення (Мається лише усна домовленість);

- крадіжки перспективних розробок зводять нанівець інноваційну діяльність підприємства;

- немає затвердженої моделі загроз;

- у положеннях про підрозділи та посадових інструкціях керівників і працівників жодної відповідальності за знищення, перекручення або втрату інформації не передбачено, згадки про інформаційну безпеку відсутні. Ніяких інструкцій і правил, що регламентують інформаційну безпеку, не передбачено.

Основними об'єктами захисту являються:

-- робочі місця працівників(кабінети: бухгалтера, директорів, приймальні, кімнат тренінгу , секретаря);

-- конфіденційна інформація (архів);

-- сервер локальної мережі;

-- відділ кадрів;

-- відділ залучення нових абонентів;

-- кабінет голови підприємства;

На підприємстві розроблені такі засоби по захисту інформації як:

-- складений договір про охорону приміщення та території;

-- розроблено графік праці;

-- розроблено відеоспостереження поверхів;

-- розроблено правила противопожежної безпеки;

-- розроблені посадові інструкції співробітників,обмежуется їх права і обов'язки;

-- додаткові угоди до трудових договорів співробітників про нерозголошення ними конфіденційної інформації, які регламентують відповідальність в сфері захисту інформації;

-- інструкції по охороні периметру, по експлуатації системи охоронної сигналізації і відеоспостереження;

-- положення про конфіденційний документообіг;

-- опис технологічного процесу обробки КІ;

3.Рекомендації:

- розробити модель загроз інформації;

- згідно з моделлю загроз перекривати технічні канали витоку мовної інформації під час нарад та під час розмов між співробітниками цієї компанії;

- захистити ЕОМ

- згідно з моделлю загроз перекривати технічні канали витоку інформації з ЕОМ;

4.Висновки:

- подання на затвердження актів з категорування складає 1 місяць;

- захищаєма мовна інформація не відповідає НД;

- захищаєма інформація в ЕОМ не відповідає НД.

Додатки:

- Ситуаційний план (додаток А)

- Генеральний план (додаток Б)

У наявності всі НД ТЗІ

Голова комісії :

_________ Омон Т.В.

Члени комісії: _________ Фролов В.В.

_________ Миршавка Д.В.

6. Побудова моделі порушника ООО «Віпіком»

Порушник - це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.

Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.

Відносно АС порушники можуть бути внутрішніми (з числа персоналу або користувачів системи) або зовнішніми (сторонніми особами). Визначення категорії порушників, прийнятих в моделі, приведено у таблиці 2. В таблицях 3-7 наведені специфікації моделі порушника за мотивами здійснення порушень, за рівнем кваліфікації та обізнаності щодо АС, за показником можливостей використання засобів та методів подолання системи захисту, за часом дії, за містом дії. У графі “Рівень загроз” зазначених таблиць наведені у вигляді відносного ранжування оцінки можливих збитків, які може заподіяти порушник за умови наявності відповідних характеристик. Рівень збитків характеризується наступними категоріями:

1 - незначні, 2 - значимі, але, здебільшого, припустимі, 3 - середні, 4 - дуже значні.

Специфікація моделі порушника за ознакою:

Позначення

1 Мотив порушення

Рівень загрози

М1

Безвідповідальність

1

М2

Самоствердження

2

М3

Корисливий інтерес

3

М4

Професійний обов'язок

4

2 Основні кваліфікаційні ознаки порушника

К1

Знає функціональні особливості системи, основні закономірності формування масивів даних та потоків запитів до них, має навички щодо користування штатними засобами системи

1

К2

Володіє високим рівнем знань та практичними навичками роботи з технічними засобами системи та їх обслуговування

2

К3

Володіє високим рівнем знань у галузі програмування та обчислювальної техніки, проектування та експлуатації автоматизованих інформаційних систем

2

К4

Знає структуру, функції й механізми дії засобів захисту, їх недоліки

3

К5

Знає недоліки та “вади” механізмів захисту, які вбудовані у системне програмне забезпечення та його не документовані можливості

3

К6

Є розробником програмних та програмно-апаратних засобів захисту або системного програмного забезпечення

4

Характеристика можливостей порушника

З1

Використовує лише агентурні методи одержання відомостей

1

З2

Використовує пасивні засоби (технічні засоби переймання без модифікації компонентів системи)

2

З3

Використовує лише штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути приховано пронесено крізь охорону

3

З4

Застосовує методи та засоби дистанційного (з використанням штатних каналів та протоколів зв'язку) упровадження програмних закладок та спеціальних резидентних програм збору, пересилання або блокування даних, дезорганізації систем обробки інформації.

3

З5

Застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передачі даних).

4

3 Характеристика можливостей порушника

Ч1

До впровадження АС або її окремих компонентів

1

Ч2

Під час бездіяльності компонентів системи (у неробочій час, під час планових перерв у роботі, перерв для обслуговування і ремонту і т.д.)

2

Ч3

Під час функціонування АС (або компонентів системи)

3

Ч4

Як у процесі функціонування АС, так і під час призупинки компонентів системи

4

4 Характеристика місця дії порушника

Д1

Без доступу на контрольовану територію організації

1

Д2

З контрольованої території без доступу у будинки та споруди

1

Д3

Усередині приміщень, але без доступу до технічних засобів АС

2

Д4

З робочих місць користувачів (операторів) АС

2

Д5

З доступом у зони даних (баз даних, архівів й т.ін.)

3

Д6

З доступом у зону керування засобами забезпечення безпеки АС

4

Модель порушника

Для побудови даної моделі використаємо усі можливі категорії, ознаки та характеристики порушників для більш точного їх аналізу, причому рівень загрози кожної з них вказується в дужках і оцінюється за 4-бальною шкалою.

Визначення категорії

Мотив порушення

Рівень кваліфікації та обізнаності щодо АС .

Можливості використання засобів та методів подолання системи захисту.

Специфікація моделі порушника за часом дії

Специфікація моделі порушника за місцем дії

Сумарний рівень загрози

Внутрішні по відношенню до АС

Технічний персонал, який обслуговує будови та приміщення в яких розташовані компоненти АС (1)

М1-3 (3)

К1-5

(3)

З1-5

(4)

Ч2

(2)

Д3

(2)

15

Персонал, який обслуговує технічні засоби (2)

М1-3 (3)

К1-5

(3)

З1-5

(4)

Ч1-4

(4)

Д4

(2)

18

Працівники АС (2)

М1-3 (3)

К1-5

(3)

З1-5

(4)

Ч2-4

(4)

Д4-5

(3)

19

Співробітники підрозділів (підприємств) розробки та супроводження програмного забезпечення (3)

М1-3 (3)

К1-6

(4)

З1-4

(3)

Ч1-4

(4)

Д1-6

(4)

21

Адміністратори ЛОМ (3)

М1-3 (3)

К1-6

(4)

З1-4

(3)

Ч-4

(4)

Д3-5

(3)

20

Співробітники служби захисту інформації (4)

М1-3 (3)

К1-6

(4)

З1-5

(4)

Ч-4

(4)

Д4-6

(4)

23

Керівники різних рівнів посадової ієрархії (4)

М1-3 (3)

К1-6

(4)

З1-5

(4)

Ч-4

(4)

Д4-6

(4)

23

Зовнішні по відношенню до АС

Будь-які особи, що знаходяться за межами контрольованої зони.(1)

М2-4

(4)

К1-5

(3)

З1-4

(3)

Ч-4

(4)

Д1

(1)

16

Відвідувачі (запрошені з деякого приводу) (2)

М2-4

(4)

К1-5

(3)

З1-4

(3)

Ч-3

(3)

Д2-3

(2)

17

Представники організацій, що взаємодіють з питань технічного забезпечення (енергопостачання, водопостачання, теплопостачання і таке інше)(2)

М1-3

(3)

К1-5

(3)

З1-4

(3)

Ч-2

(2)

Д2-3

(2)

15

Хакери (3)

М2-4

(4)

К1-5

(3)

З4

(3)

Ч-4

(4)

Д1

(1)

18

Співробітники закордонних спецслужб або особи, які діють за їх завданням (4)

М4

(4)

К1-5

(3)

З1-5

(4)

Ч1-4

(4)

Д1-3

(2)

21

Як видно з даної моделі можливих комбінацій порушників щодо АС є дуже багато, крім того, можлива змова порушників і виникнення змішаної моделі, прогнозування якої є більш складнішим, тому зупинимося лише на найнебезпечніших. Виділимо кілька можливих типів порушників, на які повинна бути орієнтована система захисту, що проектується. З внутрішніх по відношенню до АС порушників найбільшу загрозу, як не дивно, несуть співробітники служби захисту інформації та. Саме ці особи мають найбільший рівень доступу до елементів АС, і відповідно до інформації, що в ній знаходиться. Тому однією з основних вимог в побудові системи захисту в майбутньому є обмеження цих повноважень і затвердження відповідальності за їх порушення в офіційній документації.

7. Побудова моделі загроз ОІД ООО «Віпіком»

Модель загроз інформаційної безпеки компанії

Таблиця 7.1 Природничі загрози

Загроза

Джерело загрози

Реалізація

Заходи, що вживаються в організації заходи захисту

ц

д

к

ступінь

Землетрус

Природа

Природничий землетрус

Резервування необхідно важливої ??інформації на flash-носіях, CD / DVD-дисках

х

х

х

низька

Повінь

Природа

Природна повінь

Резервування необхідно важливої ??інформації на flash-носіях, CD / DVD-дисках

х

х

х

низька

Ураган

Природа

Природний ураган

Резервування необхідно важливої ??інформації на flash-носіях, CD / DVD-дисках

х

х

х

низька

Таблиця 7.2 Техногенні загрози

Загроза

Джерело загрози

Реалізація

Заходи, що вживаються в організації заходи захисту

ц

д

к

ступінь

Відключення / перебої в електропостачанні

Збої в роботі електростанції

Відключення електроживлення; короткочасне включення і виключення електроживлення

Наявність ДБЖ

х

низька

Таблиця 7.3 Внутрішні ненавмисні

Загроза

Джерело загрози

Реалізація

Заходи, що вживаються в організації заходи захисту

ц

д

к

ступінь

Ненавмисний запуск шкідливих програм

Зловмисник

Запуск співробітником шкідливого ПЗ

Наявність антивірусного ПЗ

х

х

низька

Модифікація, видалення або блокування інформації в результаті ненавмисних дій

Зловмисник

Ненавмисні дії співробітників

Резервування необхідно важливої ??інформації на flash-носіях, CD / DVD-дисках

х

х

х

середня

Апаратний або програмний збій внаслідок ненавмисних дій

Зловмисник

Ненавмисні дії співробітників

Резервування необхідно важливої ??інформації на flash-носіях, CD / DVD-дисках

х

низька

Ненавмисне розголошення інформації обмеженого доступу в результаті розмови з персоналом компанії

Зловмисник

Ведення розмов співробітниками організації в присутності сторонніх осіб

Інструктаж співробітників

х

середня

Ненавмисна втрата або псування документованої інформації

Зловмисник

Недбале ставлення персоналу до своїх обов'язків

Наявність відповідальності в трудовому договорі; зберігання важливих документованої інформації в сейфах

х

х

х

середня

Некоректне знищення паперових носіїв інформації

Зловмисник

Недбале ставлення персоналу до своїх обов'язків; незнання про можливої ??втрати інформації

Інструктаж співробітників

х

х

середня

Таблиця 7.4 Внутрішні навмисні

Загроза

Джерело загрози

Реалізація

Заходи, що вживаються в організації заходи захисту

ц

д

к

ступінь

Розкрадання або копіювання інформації на паперовому або електронному носії

Зловмисник

Зловмисні дії персоналу при роботі з електронними або паперовими документами

Наявність відповідальності в трудовому договорі; зберігання важливих документованої інформації в сейфах

х

висока

Несанкціонований доступ до серверів, ЛОМ, робочим станціям

Зловмисник

Зловмисні дії персоналу

Антивірусне ПЗ; парольний захист

х

середня

Прослуховування телефонних ліній

Зловмисник

Зловмисні дії персоналу

Наявність ключів від серверної тільки у директора

х

висока

Змову зі зловмисником і допомогу йому

Зловмисник

Зловмисні дії персоналу

Наявність відповідальності в трудовому договорі

х

висока

Використання програмних і апаратних закладок для розкрадання інформації

Зловмисник

Зловмисні дії персоналу

Захисні заходи не передбачені

х

висока

Фото та відеозйомка документів

Зловмисник

Зловмисні дії персоналу

Зберігання важливих документів у сейфах

х

низька

Таблиця 7.5 Зовнішні загрози

Загроза

Джерело загрози

Реалізація

Заходи, що вживаються в організації заходи захисту

ц

д

к

ступінь

Фізичне розкрадання або руйнування засобів обчислювальної техніки

Зловмисник

Проникнення в організацію; порушення штатного режиму функціонування ЗОТ

Сигналізація; резервування необхідно важливої ??інформації на flash-носіях, CD / DVD-дисках зберігання важливих документів у сейфах;

х

х

х

низька

Несанкціонований доступ до серверів, ЛОМ, робочим станціям

Зловмисник

Атака на сервери організації, комутаційне обладнанні і робочі станції

Антивірусне ПЗ; резервне копіювання; внутрішні механізми захисту ОС.

х

середня

Отримання інформації по акустичному і віброакустичному каналу витоку інформації

Зловмисник

Підслуховування; Використання спрямованих мікрофонів; пристрої звукозапису; стетоскопи;

Подвійні склопакети на вікнах; віброакустичним каналом заходи відсутні

х

висока

Отримання інформації за допомогою тих. коштів оптичної та оптико-електронної розвідки

Зловмисник

Використання біноклів, підзорних труб; лазерні мікрофони

Жалюзі на вікнах; проти оптико-електронних засобів розвідки захисні заходи відсутні

середня

Отримання інформації через підключення до ліній зв'язку

Зловмисник

Підключення спец.аппаратури або закладок до ліній зв'язку

Шифрування трафіку всередині мережі. Телефонна лінія не захищена.

х

висока

Отримання інформації за допомогою високочастотного нав'язування

Зловмисник

Використання спец.аппаратури

Використання цифрової АТС

х

висока

Підкуп, змову з персоналом (агентурні методи)

Зловмисник

Змова, підкуп співробітника організації

Наявність відповідальності в трудовому договорі

х

середня

Згідно цієї моделі найбільшу небезпеку просочування інформації представляють акустичний, радіоелектронний(заставні пристрої), і функціональний канал з використанням програмно-апаратних заставних пристроїв усередині ПЕОМ. Саме цим каналам необхідно приділити підвищену увагу при проектуванні системи захисту в приміщеннях: кабінет директора, відділ залучення нових абонентив, відділ кадрів,кабінет бухгалтера.

8. Аналіз існуючої системи захисту інформації ООО «Віпіком»

Аналіз інформаційної безпеки об'єкта захисту показав, що в компанії циркулює великий обсяг інформації, що має високий ступінь важливості.

У положеннях про підрозділи та посадових інструкціях керівників і працівників жодної відповідальності за знищення, перекручення або втрату інформації не передбачено, згадки про інформаційну безпеку відсутні. Ніяких інструкцій і правил, що регламентують інформаційну безпеку, не передбачено.

Серед встановлених організаційних заходів з використанням технічних засобів особливо виділені наступні:

- на вході організований контрольно-пропускний пункт для запобігання безконтрольного переміщення по будівлі;

- конфіденційні документи зберігаються в сейфах;

Додаткових заходів по відношенню забезпечення інформаційної безпеки IT-фахівцями, які працюють в компанії не виявлено.

Приміщення ООО «Віпіком» розташовано в одному корпусі на території колишнього механічного цеху Дніпропетровського радіозаводу.

1.Будинок обладнаний сучасними засобами пожежної безпеки.

2.Всі точки входу / виходу і в'їзду / виїзду контролюються за допомогою контрольно-пропускних пунктів, оснащених постами охорони, турнікетами, системами оповіщення та відеомоніторингу.

3.Територія обгороджена парканом і охороняється силами.

4.Всі приміщення обладнані взломостойкимі сейфами в міру необхідності.

5.Налагоджена чітка система пожежної та аварійної безпеки.

З вищезазначеної інформації виходить, що в даний момент в компанії відсутня комплексна система захисту інформації. Заходи, що вживаються для захисту інформації, є недостатніми. Інформація на підприємстві недостатньо захищена від загроз втрати, спотворення і знищення.

Висновки

У рамках цього курсового проекту було проведено моделювання об'єкту захисту і загроз безпеки інформації. Виявлені найбільш небезпечні і реальні шляхи організації несанкціонованого просочування інформації по технічних каналах.

Аналіз об'єкту захисту виявив найбільш вірогідні технічні канали просочування інформації, це зокрема радіоелектронний, прямій оптичний і акустичний. Також, в якості додаткової інформації приведені описи і технічні характеристики систем протидії несанкціонованому зніманню інформації по цих каналах.

Перелік посилань

1. Хорев А.А. Техническая защита информации: учеб. пособие для студентов вузов. В 3 т. Т. 1. Технические каналы утечки информации. - М.: НПЦ «Аналитика», 2008. - 436 с.:

2. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации 2011

К.: Юниор, 2003. - 504с.

3. НД ТЗІ 2.5-005-99 «Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу».

4. ДСТУ 3396.0-96 «Захист інформації. Технічний захист інформації. Основні положення».

5. ДСТУ 3396.1-96 «Захист інформації. Технічний захист інформації. Порядок проведення робіт».

6. Положення про контроль за функціонуванням системи технічного захисту інформації

7. НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі.

8. КСЗІ_3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі».

Размещено на Allbest.ru


Подобные документы

  • Проблеми побудови цілісної системи захисту інформації з обмеженим доступом для малого підприємства. Основні етапи планування та моделювання комплексної системи захисту інформації, негативні чинники, що можуть завадити проведенню якісної її побудови.

    статья [131,1 K], добавлен 27.08.2017

  • Акт категоріювання. Акт обстеження. Наказ на контрольовану зону. Модель загроз. Технічний захист інформації. Комплексна система захисту інформації. Перелік вимог з захисту інформації. Об'єкти, що підлягають категоріюванню.

    курсовая работа [17,6 K], добавлен 19.07.2007

  • Мета і призначення комплексної системи захисту інформації. Загальна характеристика автоматизованої системи установи та умов її функціонування. Формування моделей загроз інформації та порушника об'єкта інформаційної діяльності. Розробка політики безпеки.

    курсовая работа [166,9 K], добавлен 21.03.2013

  • Принципи, цілі та завдання, напрямки робіт із захисту інформації. Суб'єкти системи захисту інформації у Російській Федерації. Основні організаційно-технічні заходи, об'єкти та засоби захисту інформації. Види загроз безпеки, матеріальні носії інформації.

    реферат [23,6 K], добавлен 27.03.2010

  • Можливі канали витоку інформації. Джерела виникнення електромагнітних полів. Основні параметри можливого витоку інформації каналами ПЕМВН. Розроблення системи захисту інформації. Захист інформації блокуванням загроз без використання засобів ТЗІ.

    дипломная работа [80,0 K], добавлен 13.03.2012

  • Вразливість інформації в автоматизованих комплексах. Концепція захисту інформації. Комплекс основних задач при розробці політики безпеки. Стратегія та архітектура захисту інформації. Політика безпеки інформації. Види забезпечення безпеки інформації.

    реферат [243,2 K], добавлен 19.12.2010

  • Визначення сутності, видів та конфіденційності інформації. Характеристика програмних та технічних засобів забезпечення її захисту. Особливості складання сайту електронної комерції з продажу музичних дисків. Основні маркетингові заходи для просування.

    контрольная работа [2,6 M], добавлен 24.02.2010

  • Застосування криптографічного захисту інформації від випадкової чи навмисної її модифікації, поняття цілісності інформації та ресурсів. Розповсюдженням електронного документообігу, застосування цифрового підпису, характеристика методів шифрування.

    курсовая работа [140,9 K], добавлен 01.03.2012

  • Функції систем захисту інформації, основні терміни та визначення. Введення в криптологію, нормативно-правова база захисту інформації. Впровадження новітніх інформаційних телекомунікаційних системи. Використання та здійснення електронного документообігу.

    реферат [24,0 K], добавлен 03.10.2010

  • Розгляд засобів конфіденційності інформації, яка міститься в документованому середовищі систем дистанційного навчання. Запропоновані способи поліпшення надійності та захищеності документованої інформації, які базуються на захисті доступу до інформації.

    статья [197,4 K], добавлен 22.02.2018

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.