Розробка комплексної системи захисту інформації об’єкта

Размещено на http://www.allbest.ru/

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»

Кафедра БІТ

Курсова робота

З дисципліни : “Комплексні системи захисту інформації: проектування, впровадження, супровід, частина 2”

На тему: “Розробка комплексної системи захисту інформації об'єкта”

Варіант № 14

Виконав:

Ст. гр. БІ-31

Митюк О.М.

Прийняв:

к.т.н. Костів Ю.М.

Львів - 2018



Зміст

Вступ

1. Короткі теоретичні відомості

2. Опис об'єкта охорони

3. Хід виконання роботи

4. Виконання роботи

4.1 Аналіз об'єкту захисту

4.2 Опис і визначення контрольованої зони

4.3 Описати рівні захисту

4.4 Види витоку інформації та їх опис

4.5 Захист виділеного об'єкту

Висновок

Список використаної літератури

захист інформація контрольований виток



Вступ

Комплексна система захисту інформації (КСЗІ) -- взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.

Захист інформації в сучасних умовах стає все більш складнішою проблемою, що обумовлено рядом обставин, основні з яких: масове розповсюдження засобів електронної обчислювальної техніки; ускладнення шифрувальних технологій; необхідність захисту не тільки державної і військової таємниці, але і промислової, комерційної і фінансової таємниць; збільшення можливостей несанкціонованих дій над інформацією.

Крім того, в даний час набули широкого поширення засобу і методи несанкціонованого і таємного добування інформації. Вони все більше застосовуються не тільки в діяльності державних правоохоронних органів, але і в діяльності різного роду злочинних угруповань.

Необхідно пам'ятати, що природні канали витоку інформації утворюються спонтанно, через специфічні обставини, що склалися на об'єкті захисту.



1. Короткі теоретичні відомості

Головною метою створення КСЗІ є досягнення максимальної ефективності захисту за рахунок одночасного використання всіх необхідних ресурсів, методів і засобів, що виключають несанкціонований доступ до інформації, та створення умов обробки інформації відповідно до чинних нормативно-правових актів України у сфері захисту інформації: Закон України «Про захист інформації в інформаційно-телекомунікаційних системах», «Про доступ до публічної інформації» та «Про захист персональних даних».

Комплексна система захисту інформації призначена для виконання таких завдань:

ефективне знешкодження і попередження загроз для ресурсів шляхом комплексного впровадження правових, морально-етичних, фізичних, організаційних, технічних та інших заходів забезпечення безпеки;

забезпечення визначених політикою безпеки властивостей інформації(конфіденційності, цілісності та доступності) під час створення та експлуатації інформаційної мережі;

розмежування та контроль доступу користувачів, згідно із встановленою політикою розмежування доступу;

керування засобами захисту інформації, доступом користувачів до ресурсів;

контроль за роботою персоналу з боку працівників служби захисту інформації;

оперативне сповіщення про спроби несанкціонованого доступу;

виявлення вразливостей в операційних системах; захист від атак порушників безпеки;

захист від проникнення і поширення комп'ютерних вірусів;

контроль за функціонуванням КСЗІ;

створення умов для локалізації збоїв та максимально швидкого відновлення роботи після будь-якої відмови, спричиненої несанкціонованими діями фізичних та юридичних осіб, впливом зовнішнього середовища та іншими чинниками.

Для побудови КСЗІ потрібно послідовно виконати 6 етапів (рис. 1).



2. Опис об'єкта охорони

Об'єктом захисту є приміщення № 14. Будівля, в якій знаходиться об'єкт захисту, розташована в центрі міста, перед будинком розміщена вулиця по якій проходить рух транспорту і пішоходів, з правого боку будинку також розміщена вулиця, з лівого боку розміщений Банк. В дворі будинку знаходяться відкриті площадки для відпочинку, за будинком розміщена стоянка автомобілів працівників яка є під охороною.

Перекриття: балочне - дерев'яні балки: 20-40 см в висоту, 8-20 см в ширину і до 15 м в довжину. Відстань між балками - в межах 60-150 см. Між балками кріпиться звукоізоляція з мінеральної вати.

Зовнішні стіни: цегляні, товщиною 0,4м.

Внутрішні стіни: цегляні, 0,25 м.

Вікна: пластикові вікна з подвійними склопакетами.

Двері: подвійні двері, дерев'яні.

Система вентиляції: природна та штучна.

- Природна створюється без застосування електрообладнання (вентиляторів, електродвигунів) і відбувається внаслідок природних факторів - різниці температур повітря (ззовні та всередині приміщення), зміни тиску, вітряного тиску. До неї відносяться вентиляційні короби.

- Штучна - моноблочна система вентиляції, розміщена в шумоізольованому корпусі. Крім вентиляції у приміщені передбачено кондиціонування повітря.

Опалювання: в будинку автономна система опалення - водяна.

Електроживлення:

У будинку встановлено, в підвальному приміщенні:

- Стабілізатор напруги, що нормалізує мережеву напругу при тривалому зниженні або підвищенні напруги.

- Дизель-генераторна установка (ДГУ), що забезпечує електроживлення важливого обладнання при довготривалій відсутності напруги. Укомплектовано пристроєм, який забезпечує автоматичний запуск/зупинку станції при відсутності/відновленні подачі напруги.

- Джерело безперебійного живлення (ДБЖ), що постійно захищає побутову техніку і обладнання від проблем електроживлення.

В приміщеннях захисту є система електроживлення та електроосвітлення, відповідні складові якої під'єднані до ДБЖ та стабілізатора напруги.

Охоронно-пожежна сигналізація:

Пожежна сигналізація, що входить в склад охоронної, складається:

1) Пожежні датчики - прилади для подачі електричного сигналу про пожежу - комбіновані (тепло-димові);

2) Приймальні пристрої - служать для прийому сигналів про пожежу від пожежних датчиків, індикації номера об'єкта під охороною, з якого прийнято сигнал, і звукова сигналізація про отримання сигналу небезпеки, а також трансляція сигналу в підрозділ пожежної охорони;

3) Лінії зв'язку;

4) Джерела живлення.

Складові охоронної сигналізації:

1) Сенсори руху ;

2) Датчики розбиття скла ;

3) Датчики відкриття вікон та дверей.



3. Хід виконання роботи

1. Аналіз об'єкту захисту:

План-схема розміщення будівлі

Позначення - номер і назва приміщення

Призначення - для чого призначене приміщення

Поверх на якому розміщене приміщення (план-схема)

План-схема приміщення

2. Опис і визначення контрольованої зони

3. Описати рівні захисту

4. Види витоку інформації та їх опис

План-схема моделі поведінки уявного злочинця

5.Захист виділеного об'єкту



4. Виконання роботи

4.1 Аналіз об'єкту захисту

План-схема розміщення будівлі



Дана будівля є приватним підприємством «PUBG Coorp» тому, основним видом діяльності підприємства є надання послуг. Цей офісний комплекс розташований по вул. Пекарській. Запроектований офісний комплекс складається з шести поверхів, має паркінг та зону відпочинку.

Призначення приміщення

Об'єктом захисту є приміщення № 14 - приміщення в якому обробляється секретна інформація. У цьому приміщенні секретна інформація обробляється, використовується і знищується. Вона розташовується на сервері корпоративної мережі. Дана комерційна інформація обробляється за допомогою офісних додатків, відомчого прикладного програмного забезпечення з використанням систем управління базами даних і службових утиліт.

Будівля, в якій знаходиться об'єкт захисту, розташована в центрі міста, перед будинком розміщена вулиця, по якій проходить рух транспорту і пішоходів. З правого та лівого боку будинку знаходяться відкриті площадки для відпочинку. За будинком розміщена стоянка автомобілів працівників, яка є під охороною. Приміщення захисту розміщене на 1 поверсі будинку, який має один вихід.

План-схема поверху на якому розміщене приміщення

Даний офісний комплекс є шестиповерховою будівлею, яка містить 32 приміщення. Приміщення №14 розташоване на другому поверсі.

План-схема приміщення



4.2 Опис і визначення контрольованої зони

Контрольована зона - територія, на якій унеможливлюється несанкціоноване перебування сторонніх осіб.

Поверх	К3 (м)
1	250
2	100
3	50
4	45
5	40
6	35

Згідно з нормативними документами спеціалізовані об'єкти поділяються на універсальні об'єкти, які в свою чергу поділяться на три категорії. Згідно вимог, повинна забезпечуватися контрольована зона наступних розмірів:

першій категорії об'єкту, потрібно від 100 до 250 метрів контрольованої зони;

другій категорії об'єкту, потрібно від 45 до 50 метрів контрольованої зони;

третій категорії об'єкту потрібно від 30 до 40 метрів контрольованої зони.

Об'єкт першої категорії - це будинок (приміщення) де циркулює (обробляється, передається чи зберігається) інформація яка відноситься до грифу «цілком таємно».

Для нашого об'єкту захисту контрольована зона становить 100м. Отже об'єкт відноситься до першої категорії.

4.3 Описати рівні захисту

Інформація може бути загальнодоступною чи доступною тільки обмеженому колу людей. Питання захисту інформаційних систем актуальний тільки тоді, коли існуючі файли не призначаються для загального огляду. Існують різні захисні рівні інформаційних систем.

В залежності від загрози постає завдання щодо диференціації як різних рівнів загроз, так і різних рівнів захисту. Розрізняють наступні рівні захисту:

законодавчий (нормативно-правовий);

адміністративний (організаційний, накази та інші дії керівництва організацій, пов'язаних з інформаційними системами, що захищаються);

процедурний (заходи безпеки, орієнтовані на людей);

програмно-технічний (інженерно-технічний, апаратний, програмний).

Законодавчий рівень

Для створення правового захисту підприємства, організації, установи, необхідно організувати юридично закріплені правові взаємовідносини між державою та підприємством, щодо правомірності використання інформаційної безпеки, між підприємством та персоналом щодо обов'язковості дотримання порядку захисту інформаційних ресурсів.

Для здійснення захисту на даному рівні керуватимемося такими законами і нормативно-правовими актами, як:

Конституція України;

Закон України «Про інформацію» вiд 02.10.1992 № 2657-XII

Стаття 7. Охорона права на інформацію

Стаття 11. Інформація про фізичну особу (ч.2)

Стаття 20. Доступ до інформації

Стаття 21. Інформація з обмеженим доступом

Стаття 20. Доступ до інформації

Стаття 21. Інформація з обмеженим доступом

Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» вiд 05.07.1994 № 80/94-ВР;

Стаття 4. Доступ до інформації в системі

Стаття 8. Умови обробки інформації в системі

Стаття 9. Забезпечення захисту інформації в системі

Стаття 11. Відповідальність за порушення законодавства про захист інформації в системах

НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі;

Державний стандарт України Захист інформації. Технічний захист інформації. Порядок проведення робіт. ДСТУ 3396.1-96.

Адміністративний рівень

На адміністративному рівні режим інформаційної безпеки в системах забезпечується політикою безпеки організації, в якій сформульовані цілі у сфері інформаційної безпеки і способи їхнього досягнення.

На даному рівні можливий витік інформації через персонал. Тому я пропоную використати такі підходи, щодо забезпечення безпеки на даному рівні:

спеціальний відбір працівників;

проведення тренінгів з питань безпеки;

надання додаткових пільг персоналу (премії, відпустки, заохочення і ін..);

контроль і аудит.

Процедурний рівень

Режим інформаційної безпеки в системах на процедурному рівні забезпечується шляхом розробки і виконання розділів інструкцій для персоналу, присвячених інформаційній безпеці, а також заходами фізичного захисту. На процедурному рівні вживаються заходи, що реалізуються людьми. Серед них можна виділити наступні групи процедурних заходів:

управління персоналом;

фізичний захист;

підтримання роботоздатності;

реагування на порушення режиму безпеки;

планування реанімаційних робіт.

Програмно-технічний рівень

На програмно-технічному рівні інформаційна безпека забезпечується вживанням апробованих і сертифікованих рішень, стандартного набору контрзаходів: резервного копіювання, антивірусного і парольного захисту, міжмережних екранів, шифрування даних і т.д.

Програмно-технічний рівень можна поділити на підрівні:

Інженерно-технічний захист

Апаратний захист

Програмний захист

4.4 Види витоку інформації та їх опис

Витік інформації - це навмисні чи необережні дії, які призвели до ознайомлення осіб із конфіденційною інформацією.

Види витоку інформації:

- акустичний контроль приміщення;

- прослуховування телефонних ліній;

- перехват комп'ютерної інформації;

- прихована фото- та відеозйомка;

- візуальний нагляд;

- підкуп працівників;

- підкуп родичів працівників;

- прийом паразитних електромагнітних випромінювань.

Акустичний контроль приміщення можливий за допомогою:

- мікрофону, з виводом сигналу по кабелю;

- диктофону;

- стетоскопу;

- радіомікрофону;

- телефонної лінії;

- лазерного зняття інформації із віконного скла.

Прослуховування телефонних ліній

Телефонна лінія використовується не тільки для прослуховування телефонних розмов, але і для прослуховування офісу (при цьому трубка лежить на телефонному апараті). Для цього використовується мікрофонний ефект, високочастотне нав'язування, системи "теле-монітор", "телефонне вухо" та інші. Деякі системи дозволяють прослуховувати будь-яке приміщення, через котре проходить телефонний кабель, навіть з іншої держави.

Перехват комп'ютерної інформації

Зняття інформації з комп'ютера можливе за допомогою:

- "хакерського" мистецтва;

- прихованої камери;

- спеціального радіоприймача, котрий приймає паразитні випромінювання комп'ютеру (як правило - монітору) із наступним детектуванням корисної інформації.

Паразитні випромінювання

Електромагнітні поля, створені витоком електромагнітної енергії через щілини в екранувальних обшивках установок або їх блоків (елементів), а також передавальними антенами.

План-схема моделі поведінки уявного злочинця

Порушник -це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.

Модель порушника відображає його практичні та потенційні можливості, знання, час та місце можливої дії тощо.

Можливі внутрішні порушники :

- кінцеві користувачі (оператори системи); персонал;(перший рівень)

- особи, що обслуговують технічних засобів (третій рівень);

- співробітники відділу розробки і супроводження програмного забезпечення (четвертий рівень);

- співробітники служби безпеки АС (перший рівень);

- керівники різних рівнів (перший рівень).

Можливі зовнішні порушники (сторонні особи):

- технічний персонал, обслуговуючий будівлю (перший рівень);

- клієнти (перший рівень);

- представники організацій-конкурентів (другий рівень);

- відвідувачі запрошені з будь-якого приводу (другий рівень).

Порушники класифікуються за рівнем можливостей, що надаються їм штатними засобами КС. Виділяються чотири рівні цих можливостей. Класифікація є ієрархічною, тобто кожний наступний рівень включає в себе функціональні можливості попереднього:

Перший рівень визначає найнижчий рівень можливостей проведення діалогу з КС - можливість запуску фіксованого набору завдань (програм), що реалізують заздалегідь передбачені функції обробки інформації;

Другий рівень визначається можливістю створення і запуску власних програм з новими функціями обробки інформації;

Третій рівень визначається можливістю управління функціонуванням КС, тобто впливом на базове програмне забезпечення системи і на склад і конфігурацію її устаткування;

Четвертий рівень визначається всім обсягом можливостей осіб, що здійснюють проектування, реалізацію і ремонт апаратних компонентів КС, аж до включення до складу КС власних засобів з новими функціями обробки інформації.

Порушник може здійснювати несанкціонований доступ до інформації або під час роботи автоматизованої системи, або в період неактивності автоматизованої системи, або ж суміщаючи робочий і не робочий час.

У КСЗІ на виділеному об'єкті передбачаються, розглядаються і розробляються усі чотири рівні порушників.

Захист виділеного об'єкту

Захист інформації -- сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.

У боротьбі із загрозами система безпеки застосовує різноманітні засоби та прийоми:

- виявлення

- знищення

- відбиття

- локалізація

- запобігання

- нейтралізація

- попередження

Основні принципи реалізації програмно-технічних засобів:

Основними завданнями засобів захисту є ізоляція об'єктів КС всередині сфери керування, перевірка всіх запитів доступу до об'єктів і реєстрація запитів і результатів їх перевірки і/або виконання.

Реалізація механізмів може бути абсолютно різною. Для реалізації функцій захисту можуть використовуватись програмні або апаратні засоби, криптографічні перетворення, різні методи перевірки повноважень і т. ін. Вибір методів і механізмів практично завжди залишається за розробником. Єдиною вимогою залишається те, щоб функції захисту були реалізовані відповідно до декларованої політики безпеки і вимог гарантій.

Для реалізації певних послуг можуть використовуватись засоби криптографічного захисту. Криптографічні перетворення можуть використовуватись безпосередньо для захисту певної інформації (наприклад, при реалізації послуг конфіденційності) або підтримувати реалізацію послуги (наприклад, при реалізації послуги iдентифікації і автентифікації).

Технічне оснащення об'єкта засобами охоронної сигналізації

Першим рубежем блокуються будівельні конструкції периметрів об'єктів (віконні й дверні прорізи, люки, вентиляційні канали, теплові вводи, некапітальні стіни й інші елементи будинків, доступні для несанкціонованого проникнення).

Другим рубежем блокуються внутрішні об'єми й площі приміщень.

Третім рубежем захищаються локальні об'єкти й матеріальні цінності. За бажанням замовника додатково на об'єкті можуть установлюватися засоби, так званої, тривожної й пожежної сигналізації.

У якості додаткових рубежів захисту встановлюються системи телеспостереження й контролю доступу на об'єктах.

Для екстреного виклику мобільних груп реагування на об'єктах установлюються кнопки тривожної сигналізації. На їхні спрацювання мобільні групи служб охорони реагують у першу чергу. Кнопки тривожної сигналізації встановлюються приховано, при їхній установці повинен бути виключений фактор випадкового натискання. Передача тривожного повідомлення проводиться по індивідуальних телефонних лініях, лініях безпосереднього зв'язку, через апаратуру ущільнення по задіяних телефонних лініях, через всесвітню мережу "Internet” або за допомогою радіоканалу.

Пристрій захисту аналогових телефонних ліній МП-1А

Пристрій захисту МП-1А призначений для виключення витоку інформації через абонентську лінію аналогових АТС в режимі очікування виклику. У ньому одночасно використовуються як пасивні засоби захисту, так і активні засоби захисту. Пристрій містить генератор шуму, нелінійні ланцюги і вузол придушення сигналів малого рівня, за допомогою яких забезпечується введення шумового сигналу в абонентську лінію, загасання сигналу малого рівня від телефонного апарата у бік абонентської лінії та захист інформації від витоку при активних методах впливу в режимі очікування дзвінка.

Вібровипромінювач ВИ4

Використовується для встановлення на стіни, стелі, підлоги та системи опалення, з метою захисту віброакустичних каналів витоку інформації.

Є технічним засобом активного захисту інформації об'єктів 1 категорії, що створює маскуючий сигнал в колах електроживлення.

Призначений для захисту інформації, що обробляється засобами оргтехніки, від витоку в мережі електроживлення, а також для придушення пристроїв несанкціонованого знімання інформації, що використовують в якості носія ланцюга електроживлення 220 В.

Кодова клавіатура Viatec DH16A-20DT

Анти вандальна кодова клавіатура, управління електрозамками всіх типів, управління системами безпеки, вбудований зчитувач ідентифікаторів EM-Marine (125 кГц),2 незалежних релейних виходу,(організація 2-хзонпроходу: зона 1-до 1000комбінаційпароляікарток, зона2 -до 10паролівабокарток).



IP-відеокамера D-LinkDCS-6112

Точка доступу Cisco WAP4410N-G5

Точка доступу може працювати як самостійний пристрій, так і у складі бездротової мережі під управлінням контролера бездротової мережі.

Сенсор розбиття скла TX-3GS



Сенсорвідкриття дверей/вікна М-401

Безпровідний датчик відкриття дверей/вікон М-401 призначений для детектування відкриття дверей, вікон, люків, комор і ін.

Сенсор руху Страж П-306

Датчик руху П-306 призначений для відстеження руху людини в приміщенні, що охороняється. Принцип дії датчика заснований на визначенні інфрачервоного (ІЧ) випромінювання.

З метою підвищення ступеня захищеності інформації необхідно:

обмежити можливості несанкціонованого виведення інформації користувачами на зовнішні носії (дискети, лазерні накопичувачі CD-RW, USB-Flash) і на друк;

обмежити кількість або виключити використання локальних принтерів, призначити відповідальних за друк документів на мережевих принтерах;

виключити доступ користувачів до ресурсів інших користувачів, як на запис, так і на читання;

Обмін інформацією між користувачами здійснювати через загальні ресурси на серверах.



Висновок

Комплексна система захисту інформації (КСЗІ) являє собою сукупність організаційних і технічних заходів, апаратних і програмних засобів, які забезпечують захист інформації в інформаційно-телекомунікаційних системах.

В даній курсовій роботі ми здійснили комплексний захист приміщення в якому обробляється секретна інформація.

Для захисту приміщення було використано комплексний підхід, що поєднує в собі заходи чотирьох рівнів: законодавчого, адміністративного, процедурного і програмно-технічного. Важливим моментом було поєднання активних і пасивних методів захисту. Оскільки такий підхід найповніше забезпечує захист об'єкта.



Список використаної літератури

1. Дьомін В., Свалов В. Правове забезпечення системи захисту інформації на підприємстві.

2. Грібунін В.Г. Політика безпеки: розробка та реалізація// «Інформаційна безпека», 2005, № 1.

3. НД ТЗІ 3.7-003-2005. Про порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі.

4. НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі, затверджений наказом ДСТСЗІ СБ України від 28.04.1999 № 22.

5. Чунарьова А.В. Чунарьов А.В. Комплексний підхід при створенні захищених інформаційних мереж. [Електронний ресурс]. - Режим доступу до журналу: http://www.rusnauka.com/8_NND_2011/Informatica/4_81260.doc.htm

6. http://ndipit.com.ua/ua/poslugy/zahyst-information

7. http://uk.wikipedia.org/wiki/Комплексна_система_захисту_інформації

8. http://ukrbukva.net/10692-Razrabotka-proekta-kompleksnoiy-zashity-informacii.html

9. http://www.безопасность.com.ua/датчики_руху

10. http://fortecya-garant.com.ua/article/vimogi-do-tehnichnogo-osnaschennya-ob-ektiv-zasobami-ohoronno-pozhezhnoi-signalizacii/

11. http://www.t-ss.ru/baron.htm

12. Державна служба спеціального зв'язку та захисту інформації України (http://dstszi.kmu.gov.ua/)

Размещено на Allbest.ru

...