Реферат: Разработка проекта комплексной защиты информации

АННОТАЦИЯ

 

ЖоможаеваЕ.Г… Разработка проекта КСЗИ

Администрациигорода Миасса. –

Челябинск:ЮУрГУ,

КафедраИнформационная безопасность, 2008

Списоклитературы – 15 наименования.

В курсовомпроекте рассмотрена разработка проекта комплексной системы защиты информации напримере Администрации города Миасса. Проанализирована характеристика объекта защиты;построена модель бизнес-процессов с целью выявления конфиденциальнойинформации, составлен «Перечень сведений конфиденциального характера», выявленыобъекты защиты, угрозы, уязвимости и рассчитаны риск для ключевых объектовзащиты, построена модели злоумышленника; проанализирована степень защищенности организациипо каждому из видов защиты информации  (ЗИ) (правовая ЗИ, организационная ЗИ,программно-аппаратная ЗИ, инженерно-физическая ЗИ) и предложены меры пообеспечению защищенности организации.


Содержание:

 

1.        Введение                                                                                        3

2.        Паспортпредприятия.                                                                  5

3.        Описание модели бизнес-процессов                                             9

4.        Задачи построенияКСЗИ                                                             10

5.        Этапы построенияКСЗИ                                                              11

6.        Расчетинформационных рисков                                                  13

7.        Разработка ПИБ                                                                            19

8.        Заключение                                                                                    20

9.        Источники                                                                                      21

10.     Приложения


Введение.

С каждым годомувеличивается количество информации, растет ее спрос, а значит и растет ееценность, связи с этим возрастают требования по ее защите. Так же быстрымитемпами совершенствуются компьютерные технологии. Из-за ежегодного обновления компьютерныхтехнологий возникают новые угрозы для информации. Следовательно, возрастетнеобходимость ее защиты. Для того чтобы защита была полной необходимопрорабатывать ее комплексно.

Утечка любой информацииможет отразиться на деятельности организации. Особую роль играетконфиденциальная информация, потеря корой может повлечь большие изменения всамой организации и материальные потери. Так как Администрация г. Миассаявляется управленческим органом, то потеря конфиденциальной информации можетповлечь потери не только для самой Администрации, как организации, так и длявсего города в целом. Поэтому мероприятия по защите информации в данное времяочень актуальны и важны.

  Для обеспеченияполноценной защиты конфиденциальной информации необходимо проводить комплексныйанализ каналов утечки, каналов и методов несанкционированного воздействия наинформацию.

Целью своей курсовойработы я избрала разработку проекта КСЗИ на примере Администрации городаМиасса..

Задачи, которые япоставила перед собой:

1.       Проанализироватьобщую характеристику объекта защиты, оформленную в виде «Паспорта предприятия»;

2.       Построить модельбизнес-процессов с целью выявления конфиденциальной информации;

3.        Составить«Перечень сведений конфиденциального характера»;

4.        Выявить объектызащиты, оформленные в виде «Списка объектов, подлежащих защите»;

5.       Выявить угрозы,уязвимости и произвести расчет рисков для ключевых объектов защиты;

6.       Построить модельзлоумышленника;

7.       Проанализироватьстепень защищенности объектов защиты по каждому из видов защиты информации (ЗИ) (правовая ЗИ, организационная ЗИ, программно-аппаратная ЗИ,инженерно-физическая ЗИ, криптографическая ЗИ);


 Паспорт предприятия.

Здание Администрациинаходится в районе. По адресу г. Миасс, пр.Автозаводцев,55. ЗданиеАдминистрации является трехэтажным. Имеет свой хозяйственный двор для служебногоавтотранспорта. Перед зданием имеется автопарковка. Вход людей в зданиеосуществляется через контрольно-про­пускной пункт, находящемся на 1-ом этаже здания.

Доступимеет свои разграничения:

— в Отдел, занимающийся вопросами работы с вопросами и просьбаминаселения, имеют доступ все посетители. Отдел находится на первом этаже здания.

— В отделы и помещения,находящиеся на втором этаже здания, где находиться конфиденциальная информациядопуск осуществляемся только по пропускам.

— Во все остальные помещения и отделы имеют доступ лишь служащие и клиентыпо записи,

— Доступ в кабинет Главы города в его отсутствие запрещен. 

Границе КЗ Администрацииявляется забор, ограничивающий периметр здания и хоз. двора..

Электропитание зданияосуществляется от трансформаторной подстанции, которая расположена нанеконтролируемой территории и обслуживается сторонней организацией.

Здание окружено жилымидомами (5- этажными).

Всостав ВТСС входят:

— система кондиционирования (по одному в каждом кабинете);

— телефонный аппарат (в каждом кабинете, телефонная связьосуществляется через общую АТС здания, кабели АТС выходят за пределы КЗ). Вкаждом отделе по 2.

— компьютер ( на каждом рабочем месте, состав: системный блок, монитор,мышь, клавиатура, 2 динамика)

— принтер (в каждом отделе по 1 штуке).

— телевизор (1шт. в кабинете Главы города).

В Администрации в каждомкабинете по 1-3 окна, в зависимости от площади кабинета. Все окна – тройнойевростеклопакет. На окнах установлены жалюзи. Окна с одной стороны зданиявыходят на хоз. двор., остальные на шумные улицы

Количествостояков отопления соответствует количеству окон. Трубы системы отопления проходят по всем этажам,заканчиваются в бойлерной(подвальное помещение здания).

Стены, потолок – железобетонные плиты толщиной 400 мм, отделаны гипсокартонном толщиной10мм, пол – железобетонные плиты толщиной 400 мм, покрытые паркетом (отделы) и ковролином (кабинет Главы города).

Количестводверей соответствует количеству кабинетов в здании.

Дверьвхода в здание – железная укрепленная.

Требованияк монтажу кабельной проводки – скрытый монтаж.

Генераторывибро-акустического зашумления  не установлены.

Генераторыэлектромагнитного шума не установлены.

Направления деятельностиАдминистрации:

— юридический отдел;

— комитет по управлениюМашгородка;

— отдел муниципальногообслуживания;

— вопросами  безопасности;

— проблемами строительства;

— вопросы ЗАГСа;

— вопросами коммунальногохозяйства, распределения жилья;

— вопросы гуманитарного развития;

— вопросы экономическогоразвития;

— вопросами кадровогоразвития;

— вопросамихозяйственного обслуживания;

На предприятииотсутствуют сведения, составляющие государственную тайну, но ведется работа скоммерческой  и служебной тайной. Существует ряд нормативно- правовых актоврегламентирующих правила пользования этими сведениями.

В Администрациисуществует своя локальная сеть, доступ к которой имеют только служащиеАдминистрации. В большинстве случаев имеется доступ лишь к ограниченному числусайтов этой сети, необходимых в ходе трудовой деятельности. Информация о каждомвыходе в сеть фиксируется системным администратором. Это также относится к сетиИнтернет.

Основными объектамизащиты являются:

— АРМ сотрудников;

— сервер локальной сети;

— конфиденциальная информация(документы);

— кабинет Главы города;

— зал проведениясовещаний;

— кабинеты сконфиденциальной документацией.

В Администрацииразработана часть мер по защите информации:

— заключен договор обохране помещения и территории;

— разработан графикработы и посещения населения;

— разработан режим  иправила противопожарной безопасности;

— режим видеонаблюденияэтажей;

— разработаны должностныеинструкции служащих, разграничивающие их права и обязанности ;

—дополнительныесоглашения к трудовым договорам сотрудников о неразглашении имиконфиденциальной информации, регламентирующие ответственность в области защитыинформации;

— инструкции по охранепериметра, по эксплуатации системы охранной сигнализации и видеонаблюдения;

— положение оконфиденциальном документообороте;

— описаниетехнологического процесса обработки КИ;

­— установленаантивирусная системы защиты на АРМ;

—  разграничен доступ кАРМ паролями.

Описание модели бизнес-процессов.

Модель бизнес-процессаАдминистрации города Миасса максимально подробно описан в Приложении №1, спомощью построения модели BPwin.

Проанализировав структуруАдминистрации можно выделить, что она имеет очень обширную сферу деятельности.Потому, что состоит из множества отделов. В каждом отделе рассматриваютсяразличные вопросы по обеспечению жизнедеятельности города. Каждый отдел несетответственность за свои действия.

ДеятельностьАдминистрации является очень важной, потому как это муниципальные органуправления города.

Задачи построения КСЗИ.

После анализа имеющихсяданных можно выделить ряд задач необходимых для построения КСЗИ:

— дополнение имеющихсямер защиты, внедрение и организацию;

— составить комплексорганизационных мероприятий;

—проработать перечень программно-аппаратныхи инженерно-технических мер;

— необходимо составитьперечень конфиденциальной информации;

— составляется переченьобъектов защиты;

— определить переченьугроз для этих объектов;

— рассчитатьинформационные риски.

Рассмотрев составинформационных ресурсов предприятия, определяем состав конфиденциальнойинформации:

— Сведения, составляющие коммерческую тайну;

— Сведения, содержащие персональные данные.

 Получаем перечень сведений, составляющих конфиденциальную информацию (Приложение№2);

Также необходимоопределить местоположение защищаемой информации на предприятии. Для этогосоставляется перечень объектов защиты (Приложение №5), включающий структурнуюграфическую схему второго этажа в здании Администрации (Приложение №6), гдепроходит основной поток конфиденциальной информации.

Этапы построения КСЗИ.

Для создания комплекснойсистемы защиты информации на предприятии необходимо провести ряд мероприятий:

Эти мероприятия можетпроводить как специально приглашённая фирма- исполнитель, так и службабезопасности предприятия (если она имеет лицензию на осуществление этой деятельности).

1.Стартовый (начальный).

—  Получение согласия высшегоруководства на создание КСЗИ.

—  Разработка плана работ по созданиюКСЗИ.

—  Формирование команды по созданиюКСЗИ.

В результате проведения этого этападолжны появиться следующие документы:

— Приказ о создании КСЗИ,

— план работ по созданию КСЗИ,

— приказ о формировании команды,

— приказ о проведении обследованияпредприятия.

2. Этап предпроектногообследования.

На этом этапе  проводитсяобследование (аудит) предприятия.

—  Инвентаризацияобъектов информатизации и персонала.

—  Выявлениеинформационных потоков.

—  Моделированиебизнес-процессов.

—  Разработкаотчёта, в который должны входить: объекты защиты с точки зрения угроз, моделизлоумышленников, ответственные за объекты информатизации, расчёт рисков,ранжирование рисков.

—  Разработкатехнического задания на проектирование КСЗИ. В него входят ключевые объектызащиты, меры и средства защиты, требования по защите.

3. Проектирование.

—  Создание системногопроекта.

—  Создание “Политикибезопасности”.

—  Проведение работ по созданию КСЗИ(технический проект с опорой на ресурсы, «Технический проект на создание КСЗИ»представляет собой комплект документов, в который входит часть документовразработанных на предыдущих этапах и ряд новых документов, в которых описано,как именно будет создаваться, эксплуатироваться и, в случае необходимости,модернизироваться КСЗИ).

—  Создание рабочегопроекта. 

4. Внедрение

На этом этапе создаётся пакетдокументов «Эксплуатационная документация на КСЗИ», который включает:

— Инструкции эксплуатации КСЗИ и еёэлементов;

— Процедуры регламентногообслуживания КСЗИ;

— Правила и положения по проведениютестирования и анализа работы КСЗИ.

На этом этапе проводится всепусконаладочные работы, обучает и инструктирует персонал предприятия правилам ирежимам эксплуатации КСЗИ.
После реализации этого этапа внедренная КСЗИ готова к последующему испытанию. В процессе испытаний выполняются тестовые задания иконтролируются полученные результаты, которые и являются индикаторомработоспособности спроектированной КСЗИ. По результату испытания КСЗИ делаетсявывод относительно возможности представления КСЗИ на государственную экспертизу.

 

Расчет информационныхрисков.

 

Критичность ресурса  (D) – степень значимости ресурса. Отражает влияние реализацииугрозы на работу информационной системы.

Критичность реализацииугрозы (ER) – степень влияния реализации угрозына ресурс. Задается в %.

Вероятность реализацииугрозы через даннуюуязвимость в течении года (P(v)) – степень возможности реализацииугрозы через данную уязвимость в тех или иных условиях, указывается в %.

1.       Объект защиты –автоматизированное рабочее место (АРМ) сотрудника.

Критерий критичности (D) равен 5000 рублей.

Таблица угроз и уязвимостей.

Угроза

Уязвимости

1.Физический доступ нарушителя к АРМ 1. Отсутствие системы контроля доступа служащих к чужим АРМам

2.Отсутствие системы видеонаблюдения

на предприятии

3. Несогласованность в системе охраны периметра задания 2.Разглашение КИ, хранящейся на АРМ 1.Отсутствие соглашения о неразглашении между Администрацией и служащими. 2.Нечеткое распределение ответственности между служащими 3.Разрушение КИ при помощи специальных программ и вирусов 1.Отсутствие или некорректная работа антивирусного ПО 2.Отсутствие ограничения доступа пользователей к внешней сети

Таблица вероятности реализации данной угрозы через уязвимостьв течении года(P(V)) и критичности реализации угрозы (ER).

 

Угроза/уязвимость

P(V), %

ER,%

1/1 50 50 1/2 30 50 1/3 10 40 2/1 30 40 2/2 50 40 3/1 10 90 3/2 20 60

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всемуязвимостям (CTh).

Угроза/уязвимость

Th

CTh

1/1 0,25 0,975 1/2 0,15 1/3 0,04 2/1 0,12 0,296 2/2 0,2 3/1 0,09 0,199 3/2 0,12

Th=P(V)/100*ER/100

CTh=1-П(1-Th)

Рассчитаем общий уровеньугроз по ресурсу:

CThR=1-П(1-CTh)=1-0,025*0,04*0,801=0,986

Рассчитаем риск поресурсу:

R= CThR*D=0,986*7500=7395(руб).

Объект защиты – серверлокальной сети.

Критерий критичности (D) равен 15000 рублей.


Таблица угроз и уязвимостей.

Угроза

Уязвимости

1.Физический доступ нарушителя к серверу 1.Неорганизованность контрольно-пропускного режима на предприятии 2.Отсутствие видеонаблюдения 2.Разглашение КИ, хранящейся на сервере 1.Отсутствие соглашения о нераспространении КИ 2. Нечеткое распределение ответственности между сотрудниками предприятия

Таблица вероятности реализации данной угрозы через уязвимостьв течении года(P(V) и критичности реализации угрозы (ER).

 

Угроза/уязвимость

P(V), %

ER,%

1/1 70 80 1/2 40 60 2/1 30 30 2/2 70 50

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всемуязвимостям (CTh).

 

Угроза/уязвимость

Th

CTh

1/1 0,56 0,666 1/2 0,24 2/1 0,09 0,408 2/2 0,35

Th=P(V)/100*ER/100

CTh=1-П(1-Th)

Рассчитаем общий уровеньугроз по ресурсу:

CThR=1-П(1-CTh)=1-0,344*0,592=0,796

Рассчитаем риск поресурсу:

R=CTh*D=0,796*15000=11940(руб).

2.       Объект защиты– Конфиденциальная документация.

Критерий критичности (D) равен 3000 рублей.

Таблица угроз и уязвимостей.

Угроза

Уязвимости

1.Физический доступ нарушителя к документам 1.Неорганизованность контрольно-пропускного режима на предприятии 2.Отсутствие видеонаблюдения 2.Разглашение КИ, используемой  в документах, вынос документов за пределы КЗ 1.Отсутствие соглашения о неразглашении КИ 2. Нечеткое распределение ответственности за документы между сотрудниками предприятия 3.Несанкционированное копирование, печать и размножение КД 1. Нечеткая организация конфиденциального документооборота 2. Неконтролируемый доступ сотрудников к копировальной и множительной технике

Таблица вероятности реализации данной угрозы через уязвимостьв течении года(P(V) и критичности реализации угрозы (ER).

 

Угроза/уязвимость

P(V), %

ER,%

1/1 70 80 1/2 40 60 2/1 30 30 2/2 70 50 3/1 70 50 3/2 90 80

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всемуязвимостям (CTh).

 

Угроза/уязвимость

Th

CTh

1/1 0,56 0,666 1/2 0,24 2/1 0,09 0,408 2/2 0,35 3/1 0,35 0,818 3/2 0,72

Th=P(V)/100*ER/100

CTh=1-П(1-Th)

Рассчитаем общий уровеньугроз по ресурсу:

CThR=1-П(1-CTh)=1-0,334*0,592*0,182=0,964

Рассчитаем риск поресурсу:

R=CTh*D=0,964*3000=2892(руб).

Администрация городаМиасса является государственной организацией, поэтому деньги на созданиекомплексной системы защиты информации будут выделяться из городского бюджета.

Из оценки рисков можноподсчитать какой ущерб может понести Администрация при реализации той. Так жемы можем оценить экономическую целесообразность построения КСЗИ.

Если потери приреализации информационных угроз являются незначительными, то не имеет смысластроить дорогостоящую КСЗИ.

Еще одним важным шагом является разработка Технического задания на КСЗИ (Приложение №3).Оно определяетвсе основные требования к КСЗИ и возможные пути реализации её составляющихэлементов. В ТЗ формулируются и исследуются основные каналы утечки информации ипути и средства их локализации.

Разработка политикибезопасности. (Приложение №4)

Под политикойинформационной безопасности (ИБ) понимается совокупность документированныхуправленческих решений, направленных на защиту информационных ресурсоворганизации. Это позволяет обеспечить эффективное управление и поддержкуполитики в области информационной безопасности со стороны руководстваорганизации.

Политика ИБ является объектом стандартизации. Некоторые  страны имеют национальныестандарты, определяющие основное содержание подобных документов. Имеются рядведомственных стандартов и международные стандарты в этой области (ISO 17799).

В России к нормативнымдокументам, определяющим содержание политики ИБ, относится ряд РД ФСТЭКа. Вотечественных и международные стандартах  используются  сходнаяметодология, однако ряд вопросов в отечественных РД не рассмотрен или рассмотренменее подробно.  Таким образом, при разработке политики ИБ целесообразноиспользовать передовые зарубежные стандарты, позволяющие разработать болеекачественные документы, полностью соответствующие отечественным РД.

Целью разработки политикиорганизации в области информационной безопасности является определениеправильного (с точки зрения организации) способа использования информационныхресурсов, а также разработка процедур, предотвращающих или реагирующих нанарушения режима безопасности.

Основные этапы:

Разработка концепцииполитики информационной безопасности

Описание границ системы ипостроение модели ИС с позиции безопасности

Анализ рисков:формализация системы приоритетов организации в области информационнойбезопасности, выявление существующих рисков и оценка их параметров

Анализ возможныхвариантов контрмер и оценка их эффективности.

Выбор комплексной системызащиты на всех этапах жизненного цикла


Заключение.

Таким образом, поставивперед собой цель разработать проект КСЗИ в Администрации города Миасса, мноюбыли проделаны следующие работы:

1.       Я рассмотрелаобщую характеристику объекта защиты;

2.       Построила модельбизнес-процессов с целью выявления конфиденциальной информации;

3.        Составила«Перечень сведений конфиденциального характера»;

4.       Выявила угрозы,уязвимости и произвела расчет рисков для ключевых объектов защиты;

5.       Описала техническоезадание

6.       Рассмотрелаполитику безопасности.

7.       Получитьтеоретические знания и практические навыки в создание эффективной системызащиты информации.

Я считаю, что построениеКСЗИ в таком муниципальном органе, как городская Администрация необходима.


Источники:

 

1.               Грибунин В.Г. Политика безопасности: разработка и реазизация//«Информационная безопасность», 2005, №1.

2.               Демин В., Свалов В. Правовое обеспечение системы защиты информации напредприятии.

3.               Домарев В.В. Безопасность информационных технологий. Системный подход. — К.: ООО ТИД «Диасофт», 2004. — 992 с.

4.               Торокин А.А. «Основы инженерно-технической защиты информации». – М.:

5.               Шиверский А.А Защита информации: проблемы теории и практика. М.: Юрист,1996.

6.               Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов.М.: Академический Проект; Фонд «Мир», 2003, 640 стр


Приложение №3

«Техническое задание на систему защиты информации»

приложение 1

к Договору №____________от «____»____________2005г.

 

Дляслужебного пользования

Экз.№__

От Заказчика: От Исполнителя: Первый заместитель главы города

Генеральный директор
ОАО «Безопасность»

___________ А.С. Бородин ______________ А.П. Заикин «___» ___________ 2008 г. «___» __________ 2008 г.

 

Техническоезадание

на создание КСЗИ Администрации городаМиасса.

 

Термины и определения

ДЛЯ СЛУЖЕБНОГОПОЛЬЗОВАНИЯ (ДСП) – конфиденциальная информация, которая: либо получена впроцессе производственной деятельности от государственных предприятий иорганизаций, либо создана для государственных организаций при обработке информации,полученной от любых  контрагентов. Либо изначальным, либо конечнымсобственником данной информации ограниченного распространения являетсягосударство. От утечки данной информации могут пострадать интересы государства.

ПЕРСОНАЛЬНЫЕ ДАННЫЕ (ПД)-  конфиденциальная информация о частной жизни физического лица, котораяполучена в процессе производственной деятельности от любых  контрагентов.Собственником данной информации ограниченного распространения являетсяфизическое лицо. От утечки данной информации могут пострадать интересы этогофизического лица.

НЕ СЕКРЕТНО (НС) –открытая информация, доступ к которой не ограничивается требованиямибезопасности либо согласно производственной необходимости (общий доступ ит.п.), либо как не подлежащая засекречиванию в соответствии с законодательством(данные бухгалтерского учета и т.п.) 

КОНТРОЛИРУЕМАЯ ЗОНА (КЗ)- это пространство (территория, здание, часть здания), в котором исключенонеконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, ипосторонних транспортных средств. Границей КЗ Организации является: периметрохраняемой территории Организации; ограждающие конструкции охраняемого зданияили охраняемой части здания.

ОСНОВНЫЕ ТЕХНИЧЕСКИЕСРЕДСТВА (ОТСС) — технические средства и системы, а также их коммуникации,используемые для обработки, хранения и передачи конфиденциальной информации. Кним относятся средства вычислительной техники, средства и системы передачиданных, отображения и размножения документов.

ВСПОМОГАТЕЛЬНЫЕТЕХНИЧЕСКИЕ СРЕДСТВА (ВТСС) — технические средства и системы, непредназначенные для передачи, обработки и хранения конфиденциальной информации,устанавливаемые совместно с ОТСС. К ним относятся: радио- и телефонные средстваи системы; средства и системы охранной и пожарной сигнализации;контрольно-измерительная аппаратура; средства и системы кондиционирования;средства и системы проводной радиотрансляционной и телевизионной сети; средстваэлектронной оргтехники; средства вычислительной техники, не предназначенные дляпередачи, обработки и хранения конфиденциальной информации.

НЕСАНКЦИОНИРОВАННЫЙДОСТУП (НСД) – нарушение установленных правил доступа (организационных,технических и программных ограничений) к конфиденциальной информации,преднамеренное либо не преднамеренное, независимо от результата (полученфактический доступ к этой информации или нет).

ПОБОЧНЫЕ ЭЛЕКТРОМАГНИТНЫЕИЗЛУЧЕНИЯ И НАВОДКИ (ПЭМИН) – распространение электромагнитного излучения,возникающего в результате обработки конфиденциальной информации, в окружающемпространстве (по эфиру), а также по металлическим проводникам (коммуникациям),и позволяющего интерпретировать данную информацию.

КОНФИДЕНЦИАЛЬНАЯЛОКАЛЬНАЯ ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ (ЛВС) – комплекс средств вычислительной техники,соединенных каналами передачи данных, не выходящими за пределы КЗ, ипредназначенных для обработки конфиденциальной информации. ЛВС функциональноможет являться частью вычислительной сети Организации (в остальных частяхобрабатывается не конфиденциальная информация), а организационно – это частьАС, расположенная в пределах КЗ.

Общая характеристикаобъекта.

 

Предметом защиты являетсяконфиденциальная информация в Администрации города Миасса.  Эта информацияциркулирует в определенных подразделениях, а также в электронном видерасполагается на сервере корпоративной сети.

В этом органегосударственно управления конфиденциальная информация создается,обрабатывается, используется и уничтожается.

Выделяют сведенияконфиденциального характера на основании следующих документов:

Сведениям различнойстепени конфиденциальности в соответствии с  СТР-К собственниками информациидолжны присваиваться соответствующие грифы конфиденциальности. На основаниианализа входящих документов выявлено следующее:

Конфиденциальнаяинформация в подразделениях Администрации обрабатывается с помощью офисныхприложений, ведомственного прикладного программного обеспечения (ПО) сиспользованием систем управления базами данных (СУБД) и служебных утилит.

Границей КЗ Администрацииявляется ограждающая конструкция территории. Особенностью КЗ являетсяприсутствие на контролируемой территории посторонних лиц (ведется приемпосетителей).

Телефонная связь вАдминистрации осуществляется через общую АТС и внутреннюю. Кабели общей АТСвыходят за пределы КЗ.

Пожарная  и охраннаясигнализации установлены во всех помещениях здания.

Электропитание всегоздания осуществляется от трансформаторной подстанции, которая расположена наконтролируемой территории и обслуживается персоналом станции.

Доступ к информации.

Доступ на территориюАдминистрации осуществляется свободно, кроме второго этаже где находится КПП.Пропускной режим обеспечивается круглосуточно силами сотрудниковвневедомственной охраны УВД. Доступ на территорию Администрации и в помещения,где хранится  кон информация, осуществляется по служебному удостоверению либопо специальной отметке в пропуске.

Допуск служащихАдминистрации к защищаемым информационным ресурсам осуществляется всоответствии с должностными обязанностями, утвержденными службой безопасности,и разграничивается штатными средствами ОС. Физический доступ к серверу иактивному сетевому оборудованию ограничен, они размещены на втором этажездания, в отдельном кабинете, в закрывающихся телекоммуникационных шкафах.

Для передачи данных междупользователями АРМ  используются автоматизированные системы документооборота(внутренняя электронная почта, средства передачи сообщений).

Информационнаяхарактеристика.

В технологическомпроцессе обработки конфиденциальной информации  определены следующие компоненты:

-   субъекты доступа;

-   объекты доступа.

К субъектам доступаотносятся:

-   служащие, имеющие отношение к процессуфункционирования Администрации и которые имеют возможность доступа к  еёресурсам;

-   процедуры (процессы) обработки данныхприкладного и системного ПО, а также СУБД, которые получают данные из файлов ибаз данных на сервере.

К объектам доступаотносятся:

-   информационныересурсы – отдельныефайлы и массивы файлов, поля, записи и таблицы БД, документы, машинные носителиинформации (НЖМД, НГМД, CD-RW (CD-R) диски), доступк которым должен регламентироваться правилами разграничения доступа;

-   элементысистемы – средстваобработки и передачи информации (технические и программные средства, средстваприема, отображения, перемещения информации, машинные накопители и носители набумажной основе), доступ к которым необходимо регламентировать.

На ПЭВМ пользователей ина сервере установлены операционные системы семейства Microsoft Windows (XP),но система управления пользователями и разграничения доступа к файловымресурсам не является централизованной (доменная структура отсутствует).

 

Каналы утечкиинформации.

 

К возможным каналамутечки или нарушения целостности информации можно отнести:

-   НСД к информации,обрабатываемой на ПЭВМ и на сервере;

-   НСД к бумажным имашинным носителям информации;

-   выход из строятехнических и программных средств, в т.ч. машинных носителей информации.

Нарушение целостностиинформации возможно как путем физического разрушения носителей информации, таки путем искажения ее с помощью программных средств:

-   Аварии, стихийныебедствия (пожар, затопление);

-   Колебания в сетиэлектропитания;

-   Старениемагнитной поверхности носителей информации;

-   Ошибочноеудаление информации пользователем;

-   Сбои прикладногопрограммного обеспечения.

Возможны следующиеспособы несанкционированного доступа к защищаемым ресурсам АС:

-   физический доступк носителям информации (к серверу) и их резервным копиям с целью их хищения;

-   физический доступк бумажным носителям информации, с целью их хищения, размножения,фотографирования;

-   непосредственный(вне рамок прикладного ПО) доступ к файлам хранилища информации, таблицам БД иисполняемым модулям ПО -  удаленно  или локально  с целью их копирования идальнейшей установки, а также с целью их уничтожения;

-   применениенештатных специальных программ, обеспечивающих восстановление удаленных данныхс машинных носителей информации;

-   передача файловпо каналам связи между сотрудниками и за пределы станции с целью предоставленияНСД лицам, не имеющим допуска к данной информации в обход штатных средствзащиты;

-   доступ в рамкахприкладного ПО локально или удаленно к базам данных и файлам с использованиемнедокументированных возможностей и режимов работы этого ПО, разработанных иустановленных в качестве модификаций, в случае, когда разработчиком ПО являетсясторонняя организация;

-   любой доступ к ПОи данным с использованием технологий взлома средств защиты с целью полученияили уничтожения данных (в т.ч. компьютерные вирусы);

-   доступ с использованиемчужого идентификатора, а также с чужого рабочего места во время отсутствияпользователя этого АРМ.

 

Модель нарушителя

В качестве возможногонарушителя рассматривается субъект, имеющий доступ к работе с программными итехническими средствами. Нарушители классифицируются по уровню возможностей,предоставляемых им всеми доступными средствами (Таблица 1).

еще рефераты
Еще работы по информатике, программированию