Технічний захист інформації

 

КУРСОВА РОБОТА

Технічний захист інформації

Зміст

Перелік умовних скорочень

Вступ

1.Характеристика ОІД ООО «Віпіком»

2.Інформація підлягає охороні підприємства. ООО «Віпіком»

3.Розробка схеми інформаційних потоків ООО «Віпіком»

4.Акт категоріювання інформації відділу телефонного стягнення ООО «Віпіком»

.Акт обстеження обєкту інформаційної діяльності ООО «Віпіком»

.Побудова моделі порушника ООО «Віпіком»

7.Побудова моделі загроз інформаційної безпеки ООО «Віпіком»

.Аналіз існуючої системи захисту інформації ООО «Віпіком»

Висновки

Перелік посилань

Додаток А Ситуаційний план OOO «Віпіком»

Додаток Б Генеральний план ООО «Віпіком»

Список умовних позначень, символів, одиниць, скорочень та термінів

АС - автоматизована система

АТС - автоматична телефонна станція

ДТЗС - допоміжні технічні засоби або системи

КЗ - контрольована зона

КСЗІ - комплексна система захисту інформації

КЗЗ - комплекс засобів захисту

НД - нормативний документ

ОІД - об'єкт інформаційної діяльності

ОТЗ - основні технічні засоби

ОТР - об'єкт технічної розвідки

ПЕМВН - побічні електромагнітні випромінювання та наведення

СЗІ - служба захисту інформації

ТЗ - технічне завдання

ТЗІ - технічний захист інформації

ТР - технічна розвідка

ТКВІ - технічні канали витоку інформації

ТЗПІ - технічні засоби пересилання, оброблення, збереження, відображення інформації.

ЛОМ - Локальна обчислювальна мережа

ЗОТ - засіб обчислювальної техніки

ВСТУП

Предмет дослідження - комплексна система захисту інформації на OOO «Віпіком». Побудова комплексної системи захисту інформації на підприємстві складний процес, багато в чому залежить від правильного розуміння діяльності організації, форми власності, внутрішніх процесів, розмірів і тд. Вихідними даними для курсового проектування служить деякий варіант завдання відображає в собі характеристики досліджуваного об'єкта.

Система ТЗІ - сукупність субєктів, обєднаних цілями та завданнями захисту інформації інженерно-технічними заходами, нормативно-правова та їхня матеріально-технічна база.

Комплексна система захисту інформації (КСЗІ) - сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС.

Технічний захист інформації (ТЗІ) - діяльність, спрямована на:

забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації;

своєчасне виявлення і протидію загрозам безпеці інформації з обмеженим доступом (ІзОД).

Технічне завдання на створення КСЗІ в АС (ТЗ на КСЗІ) є засадничим організаційно-технічним документом для виконання робіт щодо забезпечення захисту інформації в системі.

Технічне завдання на КСЗІ розробляється у разі необхідності розробки або модернізації КСЗІ існуючої (що функціонує) АС. В разі розробки КСЗІ в процесі проектування АС допускається оформлення вимог з захисту інформації в АС у вигляді окремого (часткового) ТЗ, доповнення до загального ТЗ на АС або розділу загального ТЗ на АС.

Технічне завдання на КСЗІ повинно розробляється з урахуванням комплексного підходу до побудови КСЗІ, який передбачає обєднання в єдину систему всіх необхідних заходів і засобів захисту від різноманітних загроз безпеці інформації на всіх етапах життєвого циклу АС.

В технічному завданні на КСЗІ викладаються вимоги до функціонального складу і порядку розробки і впровадження технічних засобів, що забезпечують безпеку інформації в процесі її оброблення в обчислювальній системі АС. Інформаційні потоки - це фізичне переміщення інформації від одного співробітника підприємства до іншого або від одного підрозділу до іншого. Мета роботи з інформаційними потоками - оптимізація роботи підприємства.

Система інформаційних потоків - сукупність фізичних переміщень інформації, яка дає можливість здійснити будь-який процес, реалізувати рішення. Найбільш загальна система інформаційних потоків - це сума потоків інформації, яка дозволяє підприємству вести фінансово-господарську діяльність.

1. Характеристика компанії

ООО «Віпіком» почали свою діяльність у 2000 році як компанія по залучення клієнтів та підключенню нових абонентів к міські телекомунікаційні мережі. Залучення нових абонентів відбувається у телефонному режимі. Після того як людина дала згоду на підключення йому присвоюється особовий рахунок по якому він буде сплачувати послугу і пароль для доступу до особистого кабінету. Після цього відбувається підключення цього абонента до мережі.

2. Інформація підлягає охороні підприємства. ООО «Віпіком»

Конфіденційною інформацією є сервер, особисті даніперсоналу, інформація про компанії і клієнтів, паперові відліки і секретні папери підприємства.

3. Розробка схеми інформаційних потоків ООО «Віпіком»

захист інформація технічний протидія

Інформаційні потоки - це фізичне переміщення інформації від одного співробітника підприємства до іншого або від одного підрозділу до іншого. Мета роботи з інформаційними потоками - оптимізація роботи підприємства.

Система інформаційних потоків - сукупність фізичних переміщень інформації, яка дає можливість здійснити будь-який процес, реалізувати рішення. Найбільш загальна система інформаційних потоків - це сума потоків інформації, яка дозволяє підприємству вести фінансово-господарську діяльність.

Інформація, що циркулює в компанії і що має конфіденційний вигляд, зібрана і представлена в таблиці 3.1.

Таблиця 3.1 - Категоріювання інформації компанії

№Найменування елемента інформаціїВид носіяГрифНайменування джерела інформаціїМісцезнаходження джерела інформації1Посадові інструкції працівників компаніїЕлектронний, паперовийконфіденційнаДиректорВідділ кадрів2Трудові договори співробітників, що працюють з конфіденційною інформацієюЕлектронний, паперовийконфіденційнаДиректорВідділ кадрів3Договори, укладені з клієнтамиЕлектронний, паперовийКомерційна таємницяБухгалтерБухгалтерія4Платіжні доручення та інші розрахунково-грошові документиЕлектронний, паперовийконфіденційнаБухгалтерБухгалтерія5Аналітичні та фінансові звітиЕлектронний, паперовийконфіденційнаДиректорВідділ кадрів6Відомості про особисті рахункиЕлектронний, паперовийконфіденційнаДиректораВідділ кадрів7Узагальнена інформація та інші конфіденційні (обмеженого поширення) документиЕлектронний, паперовий, мовнийконфіденційнаСпівробітники компаніїВідділ по залучення нових абонентів

Мал.4.1 - Структурна схема інформаційного потоку компанії

Розглянемо інформаційні потоки підприємства на малюнку 4.1. Новий абонент (фізична або юридична особа) робить заявку у бухгалтера на потрібну йому послугу.

Бухгалтер оформляє договір і віддає клієнту. Оформлені договори надходять в відділ по підключенню нових абонентів для його підключення. Абонент передає гроші відповідно до договору який він склав бухгалтеру. Бухгалтер в свою чергу переводить гроші у банк.

Розробляється програма призначена для автоматизації підсистеми бухгалтерії. Основною одиницею інформації в системі є документ. Існує кілька видів документів: договір з юридичними особами , договір з фізичними особами.

Будь-який оформлений раніше документ можна викликати з бази даних і роздрукувати, відредагувати або видалити.

ООО «Віпіком»

ЗАТВЕРДЖУЮ

Директор

ООО «Віпіком»

Пірожок П.П.

АКТ категоріювання

Відділ по залучення нових абонентів компанії

м. Дніпропетровськ «20» квітня 2013 р.

Згідно з наказом Пірожок П.П. № 66 від 19.04.2013 р.

.Комісія у складі:

Голови комісії відповідального за ТЗІ на ОІД Омон Т.В.; членів: експерта з засобів ТЗІ Фролов В.В. інженера з питань проектування систем ТЗІ Миршавка Д.В. в період з 20 по 23 квітня 2013 р. провела категоріювання

колл-центра компанії.

Комісією розглянуто та проаналізовано:

ситуаційний план ОІД (додаток А);

генеральний план ОІД (додаток Б);

Категоріюванню підлягають обєкти, в яких обговорюється, мається, пересилається, приймається, перетворюється, накопичується, обробляється, відображається й зберігається інформація з обмеженим доступом (ІзОД).

До обєктів, що підлягають категоріюванню, відносяться:

. Приміщення, призначені для проведення нарад, конференцій, обговорень тощо з використанням ІзОД;

. Приміщення, в яких розміщені АС, ЗОТ, інші технічні засоби, призначені для роботи з ІзОД, у тому числі й основані на криптографічних методах захисту.

. Автоматизовані системи й засоби обчислювальної техніки, що діють й проектуються;

. Технічні засоби, які призначені для роботи з ІзОД й не відносяться до АС, за винятком тих, що засновані на криптографічних методах захисту;

Категоріювання проводиться з метою вживання обґрунтованих заходів щодо захисту ІзОД, яка циркулює на обєктах, вид витоку каналами побічних електромагнітних випромінювань й наводок, а також акустичних (віброакустичних) полів.

Комісія постановила:

.Серед обєктів на категоріювання слід виділити наступні: ПЕОМ, приміщення, в якому циркулює мовна ІзОД під час нарад, конференцій тощо та приміщення, в якому циркулює мовна ІзОД, під час бесід між співробітниками цього підприємства.

.В колл-центре , де циркулює така інформація:

.1 Мовна інформація (під час обслуговування клієнтів ) вголос, під час розмов між співробітниками компанії. Гриф - конфіденційно.

.2 Інформація в ПЕОМ. Гриф обмеження доступу - конфіденційно.

.ІзОД за ступенем секретності поділяються на :1 категорія - «особливої важливості», 2- категорія - «цілком таємні», 3 категорія - «таємні», 4 категорія - для службового користування.

Першому обєкту, ПЕОМ, призначити четверту категорію. Другому обєкту, приміщенню, де циркулює ІзОД під час для проведення нарад, конференцій, обговорень тощо, також призначити четверту категорію. Третьому обєкту, приміщенню, де циркулює ІзОД під час розмов між співробітниками та розмов з клієнтами компанії, теж присвоїти четверту категорію.

.У Наявності всі НД ТЗІ

Додатки:

- ситуаційний план ОІД (додаток А);

генеральний план ОІД (додаток Б);

Голова комісії :

_________ Омон Т.В.

Члени комісії:

_________ Фролов В.В.

_________ Миршавка Д.В.

Кількість примірників - 1

ООО «Віпіком»

ЗАТВЕРДЖУЮ

Директор ООО

«Віпіком»

Пірожок П.П.

АКТ

обстеження об'єкта інформаційної діяльності

м. Дніпропетровськ «20» квітня 2013 р.

Згідно з наказом Пірожок П.П. № 15 від 19.04.2013 р.

.Комісія у складі:

Голови комісії відповідального за ТЗІ на ОІД Омон Т.В.; членів: експерта з засобів ТЗІ Фролов В.В. інженера з питань проектування систем ТЗІ Фролов Д.В. в період з 20 по 23 квітня 2013 р. провела обстеження та оцінку захищеності інформації від витоку технічними каналами, а також від НСД до інформації, що обробляється в АС ОІД.

Комісією розглянуто та проаналізовано:

ситуаційний план ОІД (додаток А);

генеральний план ОІД (додаток Б);

наявність НД ТЗІ

. Відомості ООО «Віпіком»

.1 Характеристика ОІД:

Будівля компанії ООО «Віпіком» знаходиться за адресою м. Дніпропетровськ, вул. Артьома 6, 6 поверх. Будівля являє собою офісну шести поверхову споруду. Вхід людей в будівлю здійснюється через контрольно-пропускний пункт завдяки електронного ключа.

.2 Сусідні будівлі:

Із західного боку - парковка,

З південного боку - склад,

З східного боку - житловий будинок одноповерховий,

З північного боку - через проїжджу частину- двоповерхове будівлі житлової забудови.

Електроживлення будівлі забезпечується від трансформаторної підстанції (ТП), яка знаходиться за межею КЗ підприємства і обслуговується іншою організацією.

В будівлі компанії в кожному кабінеті по 2 вікна, згідно площ приміщення. Всі вікна металопластикові із двокамерним стекло пакетом, ізольовані від шуму. На вікнах встановлені жалюзі. Вікна з одного боку виходять на склади, з іншого - на дорогу.

Кількість радіаторів відповідає кількості вікон. Труби системи опалення пластикові і проходять по всіх поверхах, та закінчуються у бойлерній.

Фундамент будинку бетонний, стіни будинку - цегляні, перегородки - гіпсокартонні.

Товщина стін - 0,5м.

Товщина перегородки - 0,3м.

Перекриття між поверхами - залізобетонні плити. Покрівля будинку - горизонтальна, вкрита руберойдом з доданням теплоізоляції.

Кількість дверей відповідає кількості кабінетів в приміщенні.

Двері входу в будівлю - залізні з двома стальними листами 1.5 мм завтовшки, двома замками, каркасом із стальної труби та ребрами жорсткості.

Монтаж кабельних дротів - прихований.

Генератори віброакустичного зашумлення не встановлені.

Генератори електромагнітного шуму не встановлені.

В компанії відсутні відомості, що становлять державну таємницю, але ведеться робота з комерційною таємницею. Існує ряд нормативно-правових актів регламентуючих правила користування цими відомостями.

В компанії існує своя локальна мережа, доступ до якої мають лише співробітники підприємства. Інформація про кожен вихід в мережу фіксується системним адміністратором. Це також стосується і мережі Інтернет.

.3 Система опалення, схеми електроживлення, система кондиціонування та пожежна сигналізація мають вихід за межі виділеного приміщення.

.4 Система заземлення - виходить за межі КЗ. Тип заземлення - «TN-C». Даний тип заземлення влаштований таким чином: заземлювач (контур заземлення) встановлений на трансформаторній підстанції, до нього приєднаний нульовий провідник, який йде до споживача і виконує функцію робочого і захисного провідника.

.5 За результатами обстеженню інформаційної безпеки існуючої системи безпеки підприємства було виявлено наступне:

існуюча система захисту недостатньо надійна;

винос документації по розробках не супроводжується підписанням документів про нерозголошення (Мається лише усна домовленість);

крадіжки перспективних розробок зводять нанівець інноваційну діяльність підприємства;

немає затвердженої моделі загроз;

у положеннях про підрозділи та посадових інструкціях керівників і працівників жодної відповідальності за знищення, перекручення або втрату інформації не передбачено, згадки про інформаційну безпеку відсутні. Ніяких інструкцій і правил, що регламентують інформаційну безпеку, не передбачено.

Основними обєктами захисту являються:

робочі місця працівників(кабінети: бухгалтера, директорів, приймальні, кімнат тренінгу , секретаря);

конфіденційна інформація (архів);

сервер локальної мережі;

відділ кадрів;

відділ залучення нових абонентів;

кабінет голови підприємства;

На підприємстві розроблені такі засоби по захисту інформації як:

складений договір про охорону приміщення та території;

розроблено графік праці;

розроблено відеоспостереження поверхів;

розроблено правила противопожежної безпеки;

розроблені посадові інструкції співробітників,обмежуется їх права і обовязки;

додаткові угоди до трудових договорів співробітників про нерозголошення ними конфіденційної інформації, які регламентують відповідальність в сфері захисту інформації;

інструкції по охороні периметру, по експлуатації системи охоронної сигналізації і відеоспостереження;

положення про конфіденційний документообіг;

опис технологічного процесу обробки КІ;

.Рекомендації:

розробити модель загроз інформації;

згідно з моделлю загроз перекривати технічні канали витоку мовної інформації під час нарад та під час розмов між співробітниками цієї компанії;

захистити ЕОМ

згідно з моделлю загроз перекривати технічні канали витоку інформації з ЕОМ;

.Висновки:

подання на затвердження актів з категорування складає 1 місяць;

захищаєма мовна інформація не відповідає НД;

захищаєма інформація в ЕОМ не відповідає НД.

Додатки:

Ситуаційний план (додаток А)

Генеральний план (додаток Б)

У наявності всі НД ТЗІ

Голова комісії :

_________ Омон Т.В.

Члени комісії: _________ Фролов В.В.

_________ Миршавка Д.В.

6.Побудова моделі порушника ООО «Віпіком»

Порушник - це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.

Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.

Відносно АС порушники можуть бути внутрішніми (з числа персоналу або користувачів системи) або зовнішніми (сторонніми особами). Визначення категорії порушників, прийнятих в моделі, приведено у таблиці 2. В таблицях 3-7 наведені специфікації моделі порушника за мотивами здійснення порушень, за рівнем кваліфікації та обізнаності щодо АС, за показником можливостей використання засобів та методів подолання системи захисту, за часом дії, за містом дії. У графі Рівень загроз зазначених таблиць наведені у вигляді відносного ранжування оцінки можливих збитків, які може заподіяти порушник за умови наявності відповідних характеристик. Рівень збитків характеризується наступними категоріями:

1 - незначні, 2 - значимі, але, здебільшого, припустимі, 3 - середні, 4 - дуже значні.

Специфікація моделі порушника за ознакою:

Позначення1 Мотив порушенняРівень загрозиМ1Безвідповідальність1М2Самоствердження2М3Корисливий інтерес3М4Професійний обовязок42 Основні кваліфікаційні ознаки порушникаК1Знає функціональні особливості системи, основні закономірності формування масивів даних та потоків запитів до них, має навички щодо користування штатними засобами системи1К2Володіє високим рівнем знань та практичними навичками роботи з технічними засобами системи та їх обслуговування2К3Володіє високим рівнем знань у галузі програмування та обчислювальної техніки, проектування та експлуатації автоматизованих інформаційних систем2К4Знає структуру, функції й механізми дії засобів захисту, їх недоліки3К5Знає недоліки та вади механізмів захисту, які вбудовані у системне програмне забезпечення та його не документовані можливості3К6Є розробником програмних та програмно-апаратних засобів захисту або системного програмного забезпечення4Характеристика можливостей порушникаЗ1Використовує лише агентурні методи одержання відомостей1З2Використовує пасивні засоби (технічні засоби переймання без модифікації компонентів системи)2З3Використовує лише штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути приховано пронесено крізь охорону3З4Застосовує методи та засоби дистанційного (з використанням штатних каналів та протоколів звязку) упровадження програмних закладок та спеціальних резидентних програм збору, пересилання або блокування даних, дезорганізації систем обробки інформації.3З5Застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передачі даних).43 Характеристика можливостей порушникаЧ1До впровадження АС або її окремих компонентів1Ч2Під час бездіяльності компонентів системи (у неробочій час, під час планових перерв у роботі, перерв для обслуговування і ремонту і т.д.)2Ч3Під час функціонування АС (або компонентів системи)3Ч4Як у процесі функціонування АС, так і під час призупинки компонентів системи44 Характеристика місця дії порушникаД1Без доступу на контрольовану територію організації1Д2З контрольованої території без доступу у будинки та споруди1Д3Усередині приміщень, але без доступу до технічних засобів АС2Д4З робочих місць користувачів (операторів) АС2Д5З доступом у зони даних (баз даних, архівів й т.ін.)3Д6З доступом у зону керування засобами забезпечення безпеки АС4

Модель порушника

Для побудови даної моделі використаємо усі можливі категорії, ознаки та характеристики порушників для більш точного їх аналізу, причому рівень загрози кожної з них вказується в дужках і оцінюється за 4-бальною шкалою.

Визначення категоріїМотив порушенняРівень кваліфікації та обізнаності щодо АС .Можливості використання засобів та методів подолання системи захисту.Специфікація моделі порушника за часом діїСпецифікація моделі порушника за місцем діїСумарний рівень загрозиВнутрішні по відношенню до АСТехнічний персонал, який обслуговує будови та приміщення в яких розташовані компоненти АС (1)М1-3 (3)К1-5 (3)З1-5 (4)Ч2 (2)Д3 (2)15Персонал, який обслуговує технічні засоби (2)М1-3 (3)К1-5 (3)З1-5 (4)Ч1-4 (4)Д4 (2)18Працівники АС (2)М1-3 (3)К1-5 (3)З1-5 (4)Ч2-4 (4)Д4-5 (3)19Співробітники підрозділів (підприємств) розробки та супроводження програмного забезпечення (3)М1-3 (3)К1-6 (4)З1-4 (3)Ч1-4 (4)Д1-6 (4)21Адміністратори ЛОМ (3)М1-3 (3)К1-6 (4)З1-4 (3)Ч-4 (4)Д3-5 (3)20Співробітники служби захисту інформації (4)М1-3 (3)К1-6 (4)З1-5 (4)Ч-4 (4)Д4-6 (4)23Керівники різних рівнів посадової ієрархії (4)М1-3 (3)К1-6 (4)З1-5 (4)Ч-4 (4)Д4-6 (4)23Зовнішні по відношенню до АСБудь-які особи, що знаходяться за межами контрольованої зони.(1)М2-4 (4)К1-5 (3)З1-4 (3)Ч-4 (4)Д1 (1)16Відвідувачі (запрошені з деякого приводу) (2)М2-4 (4)К1-5 (3)З1-4 (3)Ч-3 (3)Д2-3 (2)17Представники організацій, що взаємодіють з питань технічного забезпечення (енергопостачання, водопостачання, теплопостачання і таке інше)(2)М1-3 (3)К1-5 (3)З1-4 (3)Ч-2 (2)Д2-3 (2)15Хакери (3)М2-4 (4)К1-5 (3)З4 (3)Ч-4 (4)Д1 (1)18Співробітники закордонних спецслужб або особи, які діють за їх завданням (4)М4 (4)К1-5 (3)З1-5 (4)Ч1-4 (4)Д1-3 (2)21Як видно з даної моделі можливих комбінацій порушників щодо АС є дуже багато, крім того, можлива змова порушників і виникнення змішаної моделі, прогнозування якої є більш складнішим, тому зупинимося лише на найнебезпечніших. Виділимо кілька можливих типів порушників, на які повинна бути орієнтована система захисту, що проектується. З внутрішніх по відношенню до АС порушників найбільшу загрозу, як не дивно, несуть співробітники служби захисту інформації та. Саме ці особи мають найбільший рівень доступу до елементів АС, і відповідно до інформації, що в ній знаходиться. Тому однією з основних вимог в побудові системи захисту в майбутньому є обмеження цих повноважень і затвердження відповідальності за їх порушення в офіційній документації.

7.Побудова моделі загроз ОІД ООО «Віпіком»

Модель загроз інформаційної безпеки компанії

Таблиця 7.1 Природничі загрози

ЗагрозаДжерело загрозиРеалізаціяЗаходи, що вживаються в організації заходи захистуцдкступіньЗемлетрусПриродаПриродничий землетрусРезервування необхідно важливої ??інформації на flash-носіях, CD / DVD-дискаххххнизькаПовіньПриродаПриродна повіньРезервування необхідно важливої ??інформації на flash-носіях, CD / DVD-дискаххххнизькаУраганПриродаПриродний ураганРезервування необхідно важливої ??інформації на flash-носіях, CD / DVD-дискаххххнизькаТаблиця 7.2 Техногенні загрозиЗагрозаДжерело загрозиРеалізаціяЗаходи, що вживаються в організації заходи захистуцдкступіньВідключення / перебої в електропостачанніЗбої в роботі електростанціїВідключення електроживлення; короткочасне включення і виключення електроживленняНаявність ДБЖхнизькаТаблиця 7.3 Внутрішні ненавмисніЗагрозаДжерело загрозиРеалізаціяЗаходи, що вживаються в організації заходи захистуцдкступіньНенавмисний запуск шкідливих програмЗловмисникЗапуск співробітником шкідливого ПЗНаявність антивірусного ПЗххнизькаМодифікація, видалення або блокування інформації в результаті ненавмисних дійЗловмисникНенавмисні дії співробітниківРезервування необхідно важливої ??інформації на flash-носіях, CD / DVD-дискаххххсередняАпаратний або програмний збій внаслідок ненавмисних дійЗловмисникНенавмисні дії співробітниківРезервування необхідно важливої ??інформації на flash-носіях, CD / DVD-дискаххнизькаНенавмисне розголошення інформації обмеженого доступу в результаті розмови з персоналом компаніїЗловмисникВедення розмов співробітниками організації в присутності сторонніх осібІнструктаж співробітниківхсередняНенавмисна втрата або псування документованої інформаціїЗловмисникНедбале ставлення персоналу до своїх обов'язківНаявність відповідальності в трудовому договорі; зберігання важливих документованої інформації в сейфаххххсередняНекоректне знищення паперових носіїв інформаціїЗловмисникНедбале ставлення персоналу до своїх обов'язків; незнання про можливої ??втрати інформаціїІнструктаж співробітниківххсередняТаблиця 7.4 Внутрішні навмисніЗагрозаДжерело загрозиРеалізаціяЗаходи, що вживаються в організації заходи захистуцдкступіньРозкрадання або копіювання інформації на паперовому або електронному носіїЗловмисникЗловмисні дії персоналу при роботі з електронними або паперовими документамиНаявність відповідальності в трудовому договорі; зберігання важливих документованої інформації в сейфаххвисокаНесанкціонований доступ до серверів, ЛОМ, робочим станціямЗловмисникЗловмисні дії персоналуАнтивірусне ПЗ; парольний захистхсередняПрослуховування телефонних лінійЗловмисникЗловмисні дії персоналуНаявність ключів від серверної тільки у директорахвисокаЗмову зі зловмисником і допомогу йомуЗловмисникЗловмисні дії персоналуНаявність відповідальності в трудовому договоріхвисокаВикористання програмних і апаратних закладок для розкрадання інформаціїЗловмисникЗловмисні дії персоналуЗахисні заходи не передбаченіхвисокаФото та відеозйомка документівЗловмисникЗловмисні дії персоналуЗберігання важливих документів у сейфаххнизькаТаблиця 7.5 Зовнішні загрозиЗагрозаДжерело загрозиРеалізаціяЗаходи, що вживаються в організації заходи захистуцдкступіньФізичне розкрадання або руйнування засобів обчислювальної технікиЗловмисникПроникнення в організацію; порушення штатного режиму функціонування ЗОТСигналізація; резервування необхідно важливої ??інформації на flash-носіях, CD / DVD-дисках зберігання важливих документів у сейфах;хххнизькаНесанкціонований доступ до серверів, ЛОМ, робочим станціямЗловмисникАтака на сервери організації, комутаційне обладнанні і робочі станціїАнтивірусне ПЗ; резервне копіювання; внутрішні механізми захисту ОС.хсередняОтримання інформації по акустичному і віброакустичному каналу витоку інформаціїЗловмисникПідслуховування; Використання спрямованих мікрофонів; пристрої звукозапису; стетоскопи;Подвійні склопакети на вікнах; віброакустичним каналом заходи відсутніхвисокаОтримання інформації за допомогою тих. коштів оптичної та оптико-електронної розвідкиЗловмисникВикористання біноклів, підзорних труб; лазерні мікрофониЖалюзі на вікнах; проти оптико-електронних засобів розвідки захисні заходи відсутнісередняОтримання інформації через підключення до ліній зв'язкуЗловмисникПідключення спец.аппаратури або закладок до ліній зв'язкуШифрування трафіку всередині мережі. Телефонна лінія не захищена.хвисокаОтримання інформації за допомогою високочастотного нав'язуванняЗловмисникВикористання спец.аппаратуриВикористання цифрової АТСхвисокаПідкуп, змову з персоналом (агентурні методи)ЗловмисникЗмова, підкуп співробітника організаціїНаявність відповідальності в трудовому договоріхсередня

Згідно цієї моделі найбільшу небезпеку просочування інформації представляють акустичний, радіоелектронний(заставні пристрої), і функціональний канал з використанням програмно-апаратних заставних пристроїв усередині ПЕОМ. Саме цим каналам необхідно приділити підвищену увагу при проектуванні системи захисту в приміщеннях: кабінет директора, відділ залучення нових абонентив, відділ кадрів,кабінет бухгалтера.

8. Аналіз існуючої системи захисту інформації ООО «Віпіком»

Аналіз інформаційної безпеки об'єкта захисту показав, що в компанії циркулює великий обсяг інформації, що має високий ступінь важливості.

У положеннях про підрозділи та посадових інструкціях керівників і працівників жодної відповідальності за знищення, перекручення або втрату інформації не передбачено, згадки про інформаційну безпеку відсутні. Ніяких інструкцій і правил, що регламентують інформаційну безпеку, не передбачено.

Серед встановлених організаційних заходів з використанням технічних засобів особливо виділені наступні:

на вході організований контрольно-пропускний пункт для запобігання безконтрольного переміщення по будівлі;

конфіденційні документи зберігаються в сейфах;

Додаткових заходів по відношенню забезпечення інформаційної безпеки IT-фахівцями, які працюють в компанії не виявлено.

Приміщення ООО «Віпіком» розташовано в одному корпусі на території колишнього механічного цеху Дніпропетровського радіозаводу.

.Будинок обладнаний сучасними засобами пожежної безпеки.

.Всі точки входу / виходу і в'їзду / виїзду контролюються за допомогою контрольно-пропускних пунктів, оснащених постами охорони, турнікетами, системами оповіщення та відеомоніторингу.

.Територія обгороджена парканом і охороняється силами.

.Всі приміщення обладнані взломостойкимі сейфами в міру необхідності.

.Налагоджена чітка система пожежної та аварійної безпеки.

З вищезазначеної інформації виходить, що в даний момент в компанії відсутня комплексна система захисту інформації. Заходи, що вживаються для захисту інформації, є недостатніми. Інформація на підприємстві недостатньо захищена від загроз втрати, спотворення і знищення.

Висновки

У рамках цього курсового проекту було проведено моделювання об'єкту захисту і загроз безпеки інформації. Виявлені найбільш небезпечні і реальні шляхи організації несанкціонованого просочування інформації по технічних каналах.

Аналіз об'єкту захисту виявив найбільш вірогідні технічні канали просочування інформації, це зокрема радіоелектронний, прямій оптичний і акустичний. Також, в якості додаткової інформації приведені описи і технічні характеристики систем протидії несанкціонованому зніманню інформації по цих каналах.

Перелік посилань

1. Хорев А.А. Техническая защита информации: учеб. пособие для студентов вузов. В 3 т. Т. 1. Технические каналы утечки информации. - М.: НПЦ «Аналитика», 2008. - 436 с.:

. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации 2011

К.: Юниор, 2003. - 504с.

. НД ТЗІ 2.5-005-99 «Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу».

. ДСТУ 3396.0-96 «Захист інформації. Технічний захист інформації. Основні положення».

. ДСТУ 3396.1-96 «Захист інформації. Технічний захист інформації. Порядок проведення робіт».

. Положення про контроль за функціонуванням системи технічного захисту інформації

. НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі.

. КСЗІ_3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі».

КУРСОВА РОБОТА Технічний захист інформації Зміст Перелік умовних скорочень Вступ 1.Ха

Больше работ по теме: