Разработка системы защиты информации от утечки по техническим каналам, отвечающей всем требованиям руководящих документов (на примере предприятия ООО "Информационные системы и аутсорсинг")
Защита информации от утечки по материально-вещественному каналу. Оценка возможностей потенциальных внешних и внутренних нарушителей. Методика защиты сетей переменного тока. Определение ущерба до и после внедрения системы защиты персональных данных.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 16.05.2024 |
Размер файла | 834,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Содержание
Введение
1. Нормативные ссылки
2. Термины и определения
3. Сокращения
4. Аналитический обзор предметной области
4.1 Нормативные документы и стандарты по защите персональных данных
4.2 Технические каналы утечки информации
4.3 Общие методы защиты информации от ТКУИ
4.3.1 Защита акустической (речевой) информации
4.3.2 Защита видовой информации
4.3.3 Защита информации от утечек по каналу ПЭМИН
4.3.4 Защита информации от утечки по материально-вещественному каналу
5. Предпроектное обследование объекта информатизации
5.1 Общие сведения об объекте информатизации
5.1.1 Описание деятельности и структуры
5.1.2 Организационная структура
5.1.3 Описание информационной системы
5.1.4 Общие характеристики ИСПДн
5.2 Общие характеристики ИСПДн
5.3 Описание выделенного помещения
5.3.1 Характеристики выделенного помещения
5.3.2 Установленные средства защиты
5.4 Модель нарушителя
5.4.1 Оценка возможностей потенциальных внешних нарушителей
5.4.2 Оценка возможностей потенциальных внутренних нарушителей
5.5 Модель угроз
5.5.1 Определение уровня исходной защищенности ИСПДн
5.5.2 Определение актуальных угроз безопасности ПДн
6. Описание методики защиты
6.1 Методика защиты телефонных сетей
6.2 Методика защиты средств отображения информации
6.3 Методика защиты сетей переменного тока
6.4 Методика защита носителей информации
7. Практическая реализация
7.1 Средства защиты телефонных сетей
7.2 Средства защиты сетей переменного тока
7.3 Организационные мероприятия
7.3.1 Правила доступа в помещения
7.3.1.1 Правила доступа в помещения, в которых ведется обработка персональных данных
7.3.1.2 Правила доступа в серверные помещения
7.3.1.3 Правила доступа в спецпомещения
7.3.2 Правила обработки персональных данных
7.3.2.1 Порядок обработки ПДн
7.3.2.2 Работа с обезличенными данными
7.3.2.3 Передача персональных данных третьим лицам
8. Безопасность и экологичность проекта
8.1 Значение и задачи безопасности жизнедеятельности
8.2 Анализ условий труда и мероприятия по защите от воздействия вредных производственных факторов
8.3 Обеспечение электробезопасности
8.4 Пожарная безопасность
8.5 Безопасность жизнедеятельности в чрезвычайных ситуациях
8.6 Охрана окружающей среды
9. Экономическое обоснование
9.1 Цели и задачи экономического обоснования
9.2 Расчет стоимости внедрения системы защиты ПДн
9.3 Определение ущерба до и после внедрения системы защиты ПДн
9.4 Расчет окупаемости
Заключение
Список используемых источников
Приложения
Введение
Существующие законодательство Российской Федерации призвано регулировать отношения, связанные с обработкой персональных данных органами государственной власти, юридическими и физическими лицами.
Под защитой персональных данных понимается комплекс мер - правовых, организационных и технических. При этом особенностью применения действующего законодательства является требование однозначного выполнения всего комплекса мер защиты информации единовременно, а также поддержка актуального состояния такого комплекса мер защиты.
К одной из таких мер защиты относятся мероприятия, организационные и технические, по защите персональных данных от утечек по техническим каналам.
Цель выпускной квалификационной работы - разработать систему защиты информации от утечки по техническим каналам, отвечающую всем требованиям руководящих документов, для предприятия ООО «Информационные системы и аутсорсинг».
1. Нормативные ссылки
ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»
ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»
ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»
ГОСТ Р 51897-2011/Руководство ИСО 73:2009 «Менеджмент риска.
Термины и определения»
ГОСТ Р ИСО/МЭК 13335-1-2006 «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности
информационных и телекоммуникационных технологий»
ГОСТ Р 22.0.02-2016 «Безопасность в чрезвычайных ситуациях.
Термины и определения»
ГОСТ 12.2.007.0-75 «Система стандартов безопасности труда. Изделия электротехнические. Общие требования безопасности»
Р 2.2.2006-05 «Руководство, по гигиенической оценке, факторов рабочей среды и трудового процесса. Критерии и классификация условий труда»
СанПиН 1.2.3685-21 «Гигиенические нормативы и требования к обеспечению безопасности и (или) безвредности для человека факторов среды обитания»
ГОСТ Р 2.105-2019 «ЕСКД. Общие требования к текстовым документам»
ГОСТ Р 7.0.3-2006 «Система стандартов по информации, библиотечному и издательскому делу. Издания. Основные элементы. Термины и определения»
2. Термины и определения
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Автоматизированное рабочее место - программно-технический комплекс АС, предназначенный для автоматизации деятельности определенного вида.
Администратор информационной системы персональных данных - привилегированный пользователь информационной системы персональных данных, осуществляющий и отвечающий за установку, настройку, сопровождение системного и прикладного программного обеспечения информационной системы персональных данных, распределению прав доступа.
Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Локально-вычислительная сеть - это группа вычислительных устройств, образующая структуру с покрытием на конкретной, как правило, небольшой территории. Такая сеть может объединять компьютеры и периферию, находящиеся в одном помещении, здании, или в нескольких гражданских или промышленных сооружениях, расположенных компактно относительно друг друга.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами.
Защита информации от несанкционированного доступа - защита информации от НСД: деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. Канал атаки - среда переноса между субъектом и объектом атаки действий, осуществляемых при проведении атаки.
Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств. Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Нарушитель - лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.
Модель нарушителя - совокупность предположений о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
3. Сокращения
АРМ - Автоматизированное рабочее место;
АС - Автоматизированная система;
ВТСС - Вспомогательные технические средства и системы;
ИВК - Информационно-вычислительный комплекс;
ИС - Информационная система;
ИСПДн - Информационная система персональных данных;
КЗ - Контролируемая зона;
ОТСС - Основные технические средства и системы;
ПДн - Персональные данные;
ПО - Программное обеспечение;
ПЭМИН - Побочные электромагнитные излучения и наводки;
СВТ - Средства вычислительной техники;
СЗИ - Средство защиты информации;
СЗПДн - Система защиты персональных данных;
ССОП - Сети связи общего пользования;
ТКУИ - Технические каналы утечки информации;
ТСПИ - Технические средства приёма, обработки и передачи информации;
УБПНд - Угрозы безопасности персональных данных;
ФСТЭК - Федеральная служба по техническому и экспортному контролю;
ЭВМ - Электронно-вычислительная машина.
4. Аналитический обзор предметной области
4.1 Нормативные документы и стандарты по защите персональных данных
Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных». Законом регулируются отношения, связанные с обработкой персональных данных (ПДн), с использованием средств автоматизации, или без использования таких средств, если обработка ПДн соответствует характеру действий (операций), совершаемых с ПДн с использованием средств автоматизации.
Постановление Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Описывает методику определения уровня защищенности ПДн и требования по их защите при обработке в информационных системах персональных данных (ИСПДн).
Приказ ФСТЭК от 18.02.2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Устанавливает состав и содержание организационных и технических мер по обеспечению безопасности для каждого из уровней защищенности ПДн при их обработке в ИСПДн.
Приказ ФСТЭК от 11.02.2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Устанавливает требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию. Может использоваться в качестве рекомендательного документа по защите ПДн в коммерческих организациях на усмотрение руководителя.
Методический документ. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка) от 15.02.2008 ФСТЭК РФ (для определения актуальных угроз утечки информации по техническим каналм).
Методический документ. «Методика оценки угроз безопасности информации» от 5.02.2021 ФСТЭК РФ.
4.2 Технические каналы утечки информации
Под техническим каналом утечки информации (ТКУИ) понимают совокупность источника информации, линии связи (канал), по которой распространяется информационный сигнал, и средство приёма информации. В качестве средства приёма, перехвата информации подразумеваются как некое техническое средство, так и органы чувств человека или их совокупность. Предполагается, что в линии связи всегда присутствует некий уровень шумов (помех), препятствующих правильному приёму сигнала.
Рисунок 1 - Структурная схема технического канала утечки информации
От источника информации, которыми могут быть голосовой аппарат человека, громкоговорители, печатный текст, персональные электронно-вычислительные машины (ЭВМ) и т.п., на вход передатчика поступает первичная информация.
Поскольку источники информации разнообразны, передатчик производит преобразование первичной информации в сигнал, соответствующий среде его распространения.
Средство приёма информации служат для обратного преобразования сигналов с целью получения информации, в том числе злоумышленниками.
В зависимости от физической природы возникновения информационных сигналов, а также среды их распространения и способов перехвата, определяются основные технические каналы утечки информации:
каналы утечки информации, обрабатываемой техническими средствами приема, обработки, хранения и передачи информации (ТСПИ);
каналы утечки речевой информации;
каналы утечки информации при ее передаче по каналам связи;
каналы утечки видовой информации.
Рисунок 2 - Общая классификация технических каналов утечки информации
За счет реализации технических каналов утечки информации при обработке ПДн в ИСПДн возможно возникновение следующих угроз безопасности персональных данных (УБПДн):
утечка акустической (речевой) информации;
утечка видовой информации;
утечка информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН);
утечка информации по материально-вещественному каналу.
4.3 Общие методы защиты информации от ТКУИ
Защита информации от утечки по техническим каналам - это комплекс организационных, организационно-технических и технических мероприятий, исключающих или ослабляющих (уменьшение отношения сигнал/шум) бесконтрольный выход конфиденциальной информации за пределы контролируемой зоны. В пассивных методах защиты уменьшение отношения сигнал/шум достигается путем уменьшения уровня опасного сигнала, в активных методах - путем увеличения уровня шума.
4.3.1 Защита акустической (речевой) информации
Защита акустической информации - это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей. Для защиты акустической информации используются пассивные и активные методы и средства.
Пассивные методы защиты акустической информации направлены на:
ослабление акустических сигналов на границе контролируемой зоны до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов;
ослабление информационных электрических сигналов в соединительных линиях ВТСС, имеющих в своем составе электроакустические преобразователи, обладающие микрофонным эффектом, до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов;
исключение (ослабление) прохождения сигналов высокочастотного навязывания во вспомогательные технические средства, имеющие в своем составе электроакустические преобразователи, обладающие микрофонным эффектом;
обнаружение излучений акустических закладок и побочных электромагнитных излучений диктофонов в режиме записи;
обнаружение несанкционированных подключений к телефонным линиям связи.
Активные методы защиты акустической информации направлены на:
создание маскирующих акустических и вибрационных помех в целях уменьшения отношения сигнал/шум на границе контролируемой зоны до величин, обеспечивающих невозможность выделения информационного акустического сигнала средством разведки;
создание маскирующих электромагнитных помех в соединительных линиях ВТСС, имеющих в своем составе электроакустические преобразователи, обладающие микрофонным эффектом, в целях уменьшения отношений сигнал/шум до величин, обеспечивающих невозможность выделения информационного сигнала средством разведки;
электромагнитное подавление диктофонов в режиме записи;
ультразвуковое подавление диктофонов в режиме записи;
создание маскирующих электромагнитных помех в линиях электропитания ВТСС, обладающих микрофонным эффектом, в целях уменьшения отношения сигнал/шум до величин, обеспечивающих невозможность выделения информационного сигнала средством разведки;
создание прицельных радиопомех акустическим и телефонным радиозакладкам в целях уменьшения отношения сигнал/шум до величин, обеспечивающих невозможность выделения информационного сигнала средством разведки;
подавление (нарушение функционирования) средств несанкционированного подключения к телефонным линиям;
уничтожение (вывод из строя) средств несанкционированного подключения к телефонным линиям. В основе активных методов защиты акустической информации лежит использование различного типа генераторов помех, а также применение других специальных технических средств.
4.3.2 Защита видовой информации
Защита информации от утечки по визуально-оптическому каналу - это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет распространения световой энергии.
С целью защиты информации от утечки по визуально-оптическому каналу рекомендуется:
располагать объекты защиты так, чтобы исключить отражение света в стороны возможного расположения злоумышленника (пространственные ограждения);
уменьшить отражательные свойства объекта защиты;
уменьшить освещенность объекта защиты (энергетические ограничения);
использовать средства преграждения или значительного ослабления отраженного света: ширмы, экраны, шторы, ставни, темные стекла и другие преграждающие среды, преграды;
применять средства маскирования, имитации и другие с целью защиты и введения в заблуждение злоумышленника;
использовать средства пассивной и активной защиты источника от неконтролируемого распространения отражательного или излученного света и других излучений;
осуществлять маскировку объектов защиты, варьируя отражательными свойствами и контрастом фона;
применять маскирующие средства сокрытия объектов можно в виде аэрозольных завес и маскирующих сеток, красок, укрытий.
4.3.3 Защита информации от утечек по каналу ПЭМИН
Защита информации от утечек по каналу ПЭМИН - это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за счет электромагнитных полей побочного характера и наводок. Защита информации от утечки через ПЭМИН осуществляется с применением пассивных и активных методов и средств.
Пассивные методы защиты информации направлены на:
ослабление побочных электромагнитных излучений ОТСС на границе контролируемой зоны;
ослабление наводок побочных электромагнитных излучений в посторонних проводниках, соединительных линиях, цепях электропитания и заземления, выходящих за пределы контролируемой зоны;
исключение или ослабление просачивания информационных сигналов в цепи электропитания и заземления, выходящие за пределы контролируемой зоны.
К пассивным методам защиты относятся применение разделительных трансформаторов и помехоподавляющих фильтров, экранирование, заземление всех устройств.
Активные методы защиты информации направлены на:
создание маскирующих пространственных электромагнитных помех;
создание маскирующих электромагнитных помех в посторонних проводниках, соединительных линиях, цепях электропитания и заземления.
К активным методам защиты относятся пространственное и линейное зашумление.
4.3.4 Защита информации от утечки по материально-вещественному каналу
Защита информации от утечки по материально-вещественному каналу - это комплекс мероприятий, исключающих или уменьшающих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны в виде производственных или промышленных отходов.
Защиту важной информации от утечек по материально-вещественным каналам осуществляют организационные и технические меры, установленные на Предприятии.
Первые предполагают внедрение журналов физических носителей и учёта документов, а также допусков к ним. Вторые - шифрование информации при записи на материальные носители, хранении в базах данных и при передачи по открытым каналам связи.
5. Предпроектное обследование объекта информатизации
5.1 Общие сведения об объекте информатизации
5.1.1 Описание деятельности и структуры
ООО «Информационные системы и аутсорсинг» (далее ООО «ИСА») - интегратор полного цикла, специализируется на разработке и реализации решений в области новейших технологий и информационной безопасности. Основные направления деятельности компании:
Аутсорсинг (сопровождение систем, разработка документов, аутстаффинг, консалтинг);
Защита конфиденциальной информации (аудит, проектирование, разработка, мониторинг, исследования, аттестация);
Защита объектов критической информационной инфраструктуры (категорирование, проектирование систем защиты);
Инженерная инфраструктура (строительная подготовка, разработка, внедрение и аудит инженерных систем);
ИТ-инфраструктура (шифрованные сети, разработка и внедрение систем ИТ, оборудование);
и др.
Объект представляет собой здание, состоящее из 5 этажей. Режим работы: Пн-Пт, с 09:00 до 18:00, перерыв с 13:00 до 14:00, выходные дни - Сб и Вс.
ООО «ИСА» является территориально-распределенной организацией и состоит из центрального офиса и филиалов, расположенных по адресам:
г. Краснодар, ул. Рашпилевская, 287;
г. Волгоград, пр-т Ленина 98, офис №325;
г. Курган, ул. Коли Мяготина, 56-А, офис 518;
г. Симферополь, ул. Некрасова, 9;
г. Сочи, ул. Навагинская, 8, офис 203;
г. Ставрополь, пр-т Кулакова, 16В, офис 603.
5.1.2 Организационная структура
Генеральный директор организует и несет полную ответственность за результаты деятельность Предприятия, согласовывает штатное расписание, управляет рационально имуществом при его использовании, заключает различные виды договоров, издает приказы и осуществляет контроль над исполнением работниками своих должностных обязанностей. У директора под контролем находится 10 отделов, каждый из которых выполняет определенные функции.
Заместитель генерального директора разделяет обязанности генерального директора, на время отсутствия генерального директора на месте полностью берет его обязанности на себя.
Административно-хозяйственный отдел занимается имущественным обеспечением организации и контролем за распределением этого имущества между подразделениями.
Бухгалтерский отдел занимается формированием полной и достоверной информации о деятельности организации и ее имущественном положении, обеспечением информацией, необходимой внутренним и внешним пользователям бухгалтерской отчетности для контроля за соблюдением и предотвращением отрицательных результатов хозяйственной деятельности организации и выявление внутрихозяйственных резервов обеспечения ее финансовой устойчивости.
Коммерческий отдел занимается изучением спроса на товар, его прогноз. Исследованием потребительского спроса на определённые группы товаров; поиск и выявление поставщиков, экономическим обоснованием выбора того или иного поставщика; организация связей с поставщиками; организация сервисного обслуживания; заключение и расторжение договоров, вся работа с документацией; выбор маркетинговых приёмов, применение маркетинга в соцсетях, реклама в интернете и т.д.
Юридический отдел обеспечивает соблюдение законности в деятельности предприятия и защиту правовых интересов в организации.
Департамент управления проектами и Департамент развития проектов организуют деятельность по разработке новых проектных решений для внутренних служб и заказчиков организации, а также их дальнейшего развития.
Кадровый отдел занимается кадровым делопроизводством (работа с персоналом).
Технический департамент занимается управлением работами по проектированию и внедрению специальных технических и программно-математических средств защиты информации, обеспечению организационных и инженерно-технических мер защиты информации.
Отдел системного администрирования управляет внутренней информационной системой организации, осуществляет контроль и распределение прав пользователей и информационных ресурсов, оказывает техническую поддержку сотрудникам.
Режимно-секретный отдел. Информацией о деятельности данного подразделения владеет только генеральных директор.
Схема организационной структуры представлена в приложении А.
5.1.3 Описание информационной системы
Основные организационные и правовые мероприятия по обеспечению ИБ в ООО «ИСА» представлены в таблице 1.
Таблица 1 - Характеристики обеспечения ИБ
Параметр |
Значение |
|
Имеющаяся нормативная документация, связанная с организацией обработки персональных данных |
Имеется |
|
Имеющаяся нормативная документация, связанная с обеспечением безопасности персональных данных |
Имеется |
|
Другая нормативная документация, связанная с обеспечением информационной безопасности |
Имеется |
|
Наличие реестров учета технических средств (АРМ и серверов, носителей информации) |
Имеется |
|
Резервное копирование и восстановление информации |
Имеется |
|
Производится ознакомление сотрудников под подпись с документами по информационной безопасности и правилам работы с персональными данными |
Да |
|
Распределены обязанности по обеспечению безопасности информации (в том числе персональных данных) |
Да |
|
Предусмотрена дисциплинарная ответственность за нарушение информационной безопасности |
Да |
|
Предусмотрены выделенные серверные помещения для размещения серверного и телекоммуникационного оборудования |
Да |
|
Наличие порядка допуска лиц в помещение, содержащее серверное и телекоммуникационное оборудование |
Имеется |
|
Расположение компонентов в пределах контролируемой зоны |
Имеется |
|
Наличие замков на дверях помещений, в которых располагаются компоненты ИСПДн |
Имеются |
|
Наличие в помещениях с ИСПДн системы контроля и управления доступом (СКУД) |
Имеется |
|
Регламент предоставление доступа пользователям к автоматизированным ИСПДн |
Имеется |
Программно-аппаратное обеспечение, используемое на предприятии, а также его актуальность указаны в таблице 2.
Таблица 2 - Характеристики и установленное ПО на АРМ
№ п/п |
Установленное ПО |
Аппаратное обеспечение |
Актуальность антивируса |
Актуальность обновлений ОС |
|
1 |
MS Windows 10 |
ПЭВМ на безе Intel и AMD с частотой процессора 2.4Гц |
актуален |
актуальны |
|
2 |
MS Office Professional Plus |
||||
3 |
Adobe Reader DC |
||||
4 |
7-Zip |
||||
5 |
Google Chrome |
Перечень используемых средств защиты информации на АРМ представлены в таблице 3.
Таблица 3 - Перечень средств защиты информации на АРМ
№ п/п |
Наименование продукции |
Сведения о сертификате |
|
1 |
СЗИ от НСД Secret Net Studio |
Сертификат ФСТЭК России № 3745, действителен до 16.05.2025 |
|
2 |
Средство анализа защищенности «Сканер-ВС» |
Сертификат ФСТЭК России № 2204, действителен до 13.11.2024 |
|
3 |
Программный комплекс ViPNet Client |
Сертификат соответствия ФСБ России № СФ/515-3772, действителен до 12.08.2022 года. |
|
4 |
Kaspersky Endpoint Security |
Сертификат соответствия ФСБ России № СФ/СЗИ-0429, действителен до 31.10.2023 |
5.2 Общие характеристики ИСПДн
В ООО «ИСА» в качестве ПДн, подлежащих защите, рассматриваются персональные данные сотрудников и персональные данные клиентов.
Информационные ресурсы, АРМ пользователей и сервера образуют ИСПДн, список указан в таблице 4.
Таблица 4 - Перечень ИСПДн в ООО «ИСА»
№ п/п |
Структурное подразделение |
Используемые ИСПДн |
Назначение ИСПДн |
|
1 |
Административно-хозяйственный отдел Бухгалтерский отдел Коммерческий отдел |
БД «Бухгалтерский учёт» |
Автоматизация бухгалтерского, налогового, начисления заработной платы сотрудникам, формирование отчетности, для последующей передачи во внешние организации |
|
2 |
Кадровый отдел |
БД «Кадры» |
Автоматизация кадрового учета персонала, предоставление отчетности руководству |
|
3 |
Технический департамент Юридический отдел |
БД «Пользовательская поддержка» |
Обработка сведений о клиентах, оказание технической и юридической поддержки. |
Для каждой ИСПДн существует свой набор ПДн, которые в ней обрабатываются, список представлен в таблице 5.
Таблица 5 - Состав ПДн в ИСПДн
№ п/п |
Персональные данные |
Наименование ИСПДн |
|||
«Бухгалтерский учёт» |
«Кадры» |
«Пользовательская поддержка» |
|||
1 |
ФИО |
+ |
+ |
+ |
|
2 |
Паспортные данные |
+ |
+ |
+ |
|
3 |
Дата и место рождения |
+ |
+ |
- |
|
4 |
Адрес регистрации |
+ |
+ |
- |
|
5 |
Номер телефона |
+ |
+ |
+ |
|
6 |
Семейное положение |
- |
+ |
- |
|
7 |
Данные о наличие судимости |
- |
+ |
- |
|
8 |
Сведения об образовании |
- |
+ |
- |
|
9 |
Информация о наличие инвалидности |
- |
+ |
- |
|
10 |
Сведения о трудовом стаже |
- |
+ |
- |
|
11 |
Сведения о воинском учёте |
- |
+ |
- |
|
12 |
Сведения о заработной плате |
+ |
- |
- |
|
13 |
ИНН, СНИЛС, номер страхового полиса |
- |
+ |
||
14 |
Счёт в банке |
+ |
+ |
- |
|
15 |
Размер социальных выплат |
+ |
- |
- |
В ИСПДн «Бухгалтерский учёт» обрабатываются ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, следовательно, категория ПДн - 3. В ИСПДн «Бухгалтерский учёт» обрабатываются только данные сотрудников. Существуют угрозы связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн.
В ИСПДн «Кадры» обрабатываются ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, следовательно, категория ПДн - 3. В ИСПДн «Кадры» обрабатываются только данные сотрудников. Существуют угрозы связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн. сеть ток персональный данный
В ИСПДн «Пользовательская поддержка» обрабатываются общедоступные ПДн, позволяющие идентифицировать субъекта, категория ПДн - 3. В ИСПДн «Пользовательская поддержка» одновременно обрабатываются персональные данные менее 100 000 субъектов ПДн. Существуют угрозы не связанны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.
Во всех ИСПДн - многопользовательский режим обработки персональных данных. Разграничение прав доступа к ПДн не осуществляется - применяются равные права. Все ИСПДн имеют доступ к сети Интернет.
5.3 Описание выделенного помещения
В ходе предпроектного обследования было выявлено, что в ООО «ИСА» имеется выделенное помещение для проведения служебных собрании? (совещании?), переговоров с клиентами и соискателями.
Схема расположения помещения в здании ООО «ИСА» представлена в приложении А.
5.3.1 Характеристики выделенного помещения
Для обеспечения эффективной защиты выделенного помещения необходимо знать его характеристики. Параметры указаны в таблице 6.
Таблица 6 - Характеристики помещения
Параметр |
Значение |
|
Этаж |
3-й этаж пятиэтажного здания |
|
Размеры помещения |
3х5х2,95 м |
|
Потолок |
отделанный гипсокартоном |
|
Перекрытия |
деревянные 30 мм; линолеум, 5 мм |
|
Стеновые перегородки |
гипсовые акустические плиты; кирпичные |
|
Стены наружные |
кирпичные |
|
Окна |
1х, 160х120 см, двойной стеклопластиковый пакет |
|
Двери |
220x90 см, одностворчатая, деревянная, с уплотнителем |
|
Система электропитания |
сеть 220 В/50 Гц; от аккумуляторов; автономная трансформаторная подстанция |
|
Тип электроприборов |
светодиодные потолочные светильники - 8 шт. |
|
Система заземления |
имеется общий заземленный контур, с сопротивлением заземления около 4 Ом |
|
Система сигнализации |
охранная (акустические детекторы) - 2 шт. |
|
Система отопления |
центральное водяное (батарея) - 1 шт.; стояк, проходящий транзитом снизу-вверх - 1 шт. |
|
Тип телефонных аппаратов |
стационарный телефон - 1шт. |
|
Вычислительная и организационная техника |
ПЭВМ (подключенная по WiFi) - 1 шт. проектор - 1 шт. |
|
Мебель |
рабочий стол; стол для совещаний. |
5.3.2 Установленные средства защиты
Для защиты от утечек по акустическому (речевому) каналу в помещении предусмотрена система виброакустической и акустической защиты с централизованным возбуждением излучателей (ЦВИ) «Соната-АВ» модель 3М.
Рисунок 3 - «Соната-АВ» модель 3М
Таблица 7 - Технические характеристики «Соната-АВ» модель 3М
Параметр |
Значение |
|
Полоса генерируемых частот |
90-110 Гц (7 октав) |
|
Количество независимых каналов |
3 (2 вибро, 1 аудио) |
|
Аудиоизлучателей |
5 |
|
«Тяжелых» виброизлучателей |
30 (15 + 15) |
|
«Легких» виброизлучателей |
30 (15 + 15) |
|
Регулировка уровня шумового сигнала |
в каждом канале |
|
Регулировка спектра шумового сигнала |
в каждом канале |
|
Электропитание |
сеть 220 В / 50 Гц |
|
Габариты |
142х60х167 мм |
|
Продолжительность непрерывной работы |
не менее 24 часов |
Аудиоизлучатель АИ-65 является специализированным электроакустическим преобразователем и предназначен для возбуждения акустического шума. Модуль для «Соната-АВ» модель 3М.
Рисунок 4 - Аудиоизлучатель АИ-65
Виброизлучатель ВИ-3М являются специализированными электроакустическими преобразователями повышенной мощности и предназначены для возбуждения шумовых вибраций в массивных конструкциях защищаемого помещения (стенах, потолках, полах, больших окнах) обеспечивая при этом приемлемый уровень мешающего акустического шума. Модуль для «Соната-АВ» модель 3М.
Рисунок 5 - Виброизлучатель ВИ-3М
Таблица 8 - Технические характеристики АИ-65, ВИ-3М
Параметр |
АИ-65 |
ВИ-3М |
|
Полоса воспроизводимых частот |
175-5 600 Гц (5 октав) |
90-11 200 Гц (7 октав) |
|
Размах напряжения входного сигнала |
не более 1 В |
не более 30 В |
|
Активное сопротивление |
8 Ом |
- |
|
Эквивалентная емкость |
- |
20 нФ |
|
Габариты |
42х72х120 мм |
45х25 |
|
Масса |
0,13 кг |
0,2 кг |
5.4 Модель нарушителя
Модель нарушителя разрабатывается на основе классификации, приведенной в «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной Приказом ФСТЭК России от 15 февраля 2008 года.
По наличию права постоянного или разового доступа в контролируемую зону Предприятия нарушители подразделяются на два типа:
внешние нарушители - нарушители, не имеющие доступа к ИС, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;
внутренние нарушители - нарушители, имеющие доступ к ИС, включая пользователей ИС, реализующие угрозы непосредственно в ИС.
Предполагается, что существующая на предприятии система подбора кадров, действующие организационно-технические мероприятия исключают возможность сговора между нарушителями любых типов.
5.4.1 Оценка возможностей потенциальных внешних нарушителей
В общем случае, внешними нарушителями могут быть:
разведывательные службы государств;
криминальные структуры;
конкурирующие организации;
недобросовестные партнеры;
внешние субъекты (физические лица).
Перечень потенциальных внешних нарушителей приведен в таблице 9.
Таблица 9 - Перечень потенциальных внешних нарушителей
№ п/п |
Внешние нарушители |
Мотивация нарушителей |
Актуальность нарушителя |
|
1 |
Разведывательные службы государств |
Нарушение штатного режима функционирования и дестабилизация функционирования Системы мониторинга |
Не актуален |
|
2 |
Криминальные структуры |
Причинение имущественного ущерба путем мошенничества или иным преступным путем. Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды |
Актуален |
|
3 |
Конкурирующие организации |
Получение конкурентных преимуществ. Причинение имущественного ущерба путем обмана или злоупотребления доверием |
Актуален |
|
4 |
Недобросовестные партнеры |
Причинение имущественного ущерба путем обмана или злоупотребления доверием. Непреднамеренные, неосторожные или неквалифицированные действия |
Актуален |
|
5 |
Внешние субъекты |
Нарушение штатного режима функционирования, любопытство и (или) самореализация потенциальных нарушителей; использование вычислительных мощностей для проведения атак типа «отказ в обслуживание» сторонних организаций |
Актуален |
Перечень возможностей потенциальных внешних нарушителей приведен в таблице 10.
Таблица 10 - Возможности потенциальных внешних нарушителей
№ п/п |
Возможности внешнего нарушителя |
Наличие возможности |
|
1 |
Осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений |
Нет |
|
2 |
Осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена |
Нет |
|
3 |
Осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок |
Нет |
|
4 |
Осуществлять несанкционированный доступ через элементы информационной инфраструктуры ИС, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами контролируемой зоны |
Да |
|
5 |
Осуществлять несанкционированный доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ИС |
Нет |
Для обеспечения информационного взаимодействия ИС с сетями связи общего пользования и сетью международного информационного обмена применяются сертифицированные ФСТЭК России средства межсетевого экранирования ViPNet.
Также, на АРМ и серверах ИС установлены сертифицированные ФСТЭК России средства антивирусной защиты информации и средства защиты информации от несанкционированного доступа.
5.4.2 Оценка возможностей потенциальных внутренних нарушителей
Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к защищаемой информации.
Перечень потенциальных внутренних нарушителей приведен в таблице 11.
Таблица 11 - Перечень потенциальных внутренних нарушителей
№ п/п |
Внутренние нарушители |
Мотивация нарушителей |
Актуальность нарушителя |
|
1 |
1 категория - Сотрудники, не являющиеся пользователями ИС |
Любопытство или желание самореализации (подтверждение статуса); непреднамеренные, неосторожные или неквалифицированные действия. Месть за ранее совершенные действия. |
Актуален |
|
2 |
2 категория - Пользователи ИС |
Актуален |
||
3 |
3 категория - Удаленные пользователи ИС |
Не актуален |
||
4 |
4 категория - Администратор безопасности сегмента ИС |
Не актуален |
||
5 |
5 категория - Системный администратор ИС |
Актуален |
||
6 |
6 категория - Администратор безопасности ИС |
Не актуален |
||
7 |
7 категория - Разработчики ИС |
Внедрение дополнительных функциональных возможностей в программное обеспечение, причинение имущественного (и др. видов) ущерба путем обмана или злоупотребления доверием, непреднамеренные, неосторожные или неквалифицированные действия |
Не актуален |
|
8 |
8 категория - Подрядные организации, осуществляющие поставку, сопровождение и ремонт компонентов ИС |
Не актуален |
Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах КЗ режимных и организационно-технических мер защиты.
Возможности потенциальных внутренних нарушителей, а также их описание указаны в таблице 12.
Таблица 12 - Возможности потенциальных внутренних нарушителей
№ п/п |
Возможности внутреннего нарушителя |
Наличие возможности |
Описание |
|
1 |
Имеет доступ к фрагментам информации, содержащей и распространяющейся по внутренним каналам связи ИС |
Да |
Данной возможностью обладают потенциальные нарушители 1 категории, являющиеся актуальными для ИС |
|
2 |
Располагает фрагментами информации о топологии ИС (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах |
Да |
Данной возможностью обладают потенциальные нарушители 1 категории, являющиеся актуальными для ИС |
|
3 |
Располагает именами и ведет выявление паролей зарегистрированных пользователей |
Да |
Данной возможностью обладают потенциальные нарушители 1 категории, являющиеся актуальными для ИС |
|
4 |
Изменяет конфигурацию технических средств ИС, вносит в нее программно-аппаратные закладки и обеспечивает съем информации, используя непосредственное подключение к техническим средствам ИС |
Да |
Данной возможностью обладают потенциальные нарушителя 1 категории, являющиеся актуальными для ИС |
|
5 |
Знает, по меньшей мере, одно легальное имя доступа |
Да |
Данной возможностью обладают потенциальные нарушителя 1 категории, являющиеся актуальными для ИС |
|
6 |
Обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству защищаемой информации |
Да |
Данной возможностью обладают потенциальные нарушителя 2 категории, являющиеся актуальными для ИС |
|
7 |
Располагает конфиденциальными данными, к которым имеет доступ |
Да |
Данной возможностью обладают потенциальные нарушителя 2 категории, являющиеся актуальными для ИС |
|
8 |
Располагает информацией о топологии ИС на базе локальной и (или) распределенной ИС, через которую осуществляется доступ, и о составе технических средств ИС |
Нет |
Данной возможностью обладают потенциальные нарушителя 3 категории, не являющиеся актуальными для ИС |
|
9 |
Имеет возможность прямого (физического) доступа к фрагментам технических средств ИС |
Нет |
Данной возможность обладают потенциальные нарушителя 3 категории, не являющиеся актуальными для ИС |
|
10 |
Обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте (фрагменте) ИС |
Нет |
Данной возможностью обладают потенциальные нарушителя 4 категории, не являющиеся актуальными для ИС |
|
11 |
Обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИС |
Нет |
Данной возможностью обладают потенциальные нарушителя 4 категории, не являющиеся актуальными для ИС |
|
12 |
Имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте (фрагменте) ИС |
Нет |
Данной возможностью обладают потенциальные нарушителя 4 категории, не являющиеся актуальными для ИС |
|
13 |
Имеет доступ ко всем техническим средствам сегмента (фрагмента) ИС |
Нет |
Данной возможностью обладают потенциальные нарушителя 4 категории, не являющиеся актуальными для ИС |
|
14 |
Обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента (фрагмента) ИС |
Нет |
Данной возможностью обладают потенциальные нарушителя 4 категории, не являющиеся актуальными для ИС |
|
15 |
Обладает полной информацией о системном и прикладном программном обеспечении ИС |
Да |
Данной возможностью обладают потенциальные нарушителя 5 категории, являющиеся актуальными для ИС |
|
16 |
Обладает полной информацией о технических средствах и конфигурации ИС |
Да |
Данной возможность обладают потенциальные нарушителя 5 категории, являющиеся актуальными для ИС |
|
17 |
Имеет доступ ко всем техническим средствам обработки информации и данным ИС |
Да |
Данной возможность обладают потенциальные нарушителя 5 категории, являющиеся актуальными для ИС |
|
18 |
Обладает правами конфигурирования и административной настройки технических средств ИС |
Да |
Данной возможность обладают потенциальные нарушителя 5 категории, являющиеся актуальными для ИС |
|
19 |
Обладает полной информацией об ИС |
Нет |
Данной возможность обладают потенциальные нарушителя 6 категории, не являющиеся актуальными для ИС |
|
20 |
Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИС |
Нет |
Данной возможность обладают потенциальные нарушителя 6 категории, не являющиеся актуальными для ИС |
|
21 |
Обладает информацией об алгоритмах и программах обработки информации на ИС |
Нет |
Данной возможность обладают потенциальные нарушителя 7 категории, не являющиеся актуальными для ИС |
|
22 |
Обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИС на стадии ее разработки, внедрения и сопровождения |
Нет |
Данной возможность обладают потенциальные нарушителя 7 категории, не являющиеся актуальными для ИС |
|
23 |
Может располагать любыми фрагментами информации о топологии ИС и технических средствах обработки и защиты информации, обрабатываемой в ИС |
Нет |
Данной возможность обладают потенциальные нарушителя 7 категории, не являющиеся актуальными для ИС |
|
24 |
Обладает возможностями внесения закладок в технические средства ИС на стадии их разработки, внедрения и сопровождения |
Нет |
Данной возможность обладают потенциальные нарушителя 8 категории, не являющиеся актуальными для ИС |
|
25 |
Может располагать любыми фрагментами информации о топологии ИС и технических средствах обработки и защиты информации в ИС |
Нет |
Данной возможность обладают потенциальные нарушителя 8 категории, не являющиеся актуальными для ИС |
5.5 Модель угроз
5.5.1 Определение уровня исходной защищенности ИСПДн
На основании «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной Приказом ФСТЭК России от 14 февраля 2008 года (далее - Методика определения актуальных угроз) для определения угроз утечки информации по техническим каналам, и «Методики оценки угроз безопасности информации» утвержденной Приказом ФСТЭК России от 5 февраля 2021 года для видов угроз связанных с действиями нарушителей (в том числе сотрудниками), определяется степень исходной защищенности ИСПДн.
Показатель уровня исходной защищенности указан в таблице 13.
Таблиц...
Подобные документы
- Построение многоуровневой системы защиты информации, отвечающей современным требованиям и стандартам
Политика защиты информации. Возможные угрозы, каналы утечки информации. Разграничение прав доступа и установление подлинности пользователей. Обзор принципов проектирования системы обеспечения безопасности информации. Межсетевой экран. Антивирусная защита.
дипломная работа [1,9 M], добавлен 05.11.2016 Методы защиты речевой информации. Технические средства и системы защиты. Проведение оценки защищенности защищаемого помещения. Установка средств защиты информации, предотвращающих утечку информации по акустическому и виброакустическому каналу связи.
дипломная работа [3,4 M], добавлен 01.08.2015Физическая целостность информации. Система защиты информации. Установка средств физической преграды защитного контура помещений. Защита информации от утечки по визуально-оптическим, акустическим, материально-вещественным и электромагнитным каналам.
курсовая работа [783,9 K], добавлен 27.04.2013Системная концепция комплексного обеспечения системы защиты информации. Описание автоматизированной системы охраны "Орион" и ее внедрение на объекте защиты. Технические каналы утечки информации. Разработка системы видеонаблюдения объекта защиты.
дипломная работа [1,2 M], добавлен 30.08.2010Анализ объекта информатизации. Политику информационной безопасности. Подсистемы технической защиты информации: управления доступом, видеонаблюдения, охранной и пожарной сигнализаций, защиты от утечки по техническим каналам, защиты корпоративной сети.
презентация [226,0 K], добавлен 30.01.2012Анализ источников опасных сигналов и определение потенциальных технических каналов утечки информации и несанкционированного доступа. Организационные и технические методы защиты информации в выделенном помещении, применяемое инженерное оборудование.
курсовая работа [519,4 K], добавлен 18.11.2015Методы противодействия утечке информации по индукционному каналу в кабинете руководителя. Описание и характеристики объектов информатизации. Элемент системы защиты информации на объекте информатизации. Эффективность магнитостатического экранирования.
курсовая работа [1007,4 K], добавлен 05.04.2017Возможные каналы утечки информации. Расчет контролируемой зоны объекта. Защита по виброакустическому каналу утечки информации. Выявление несанкционированного доступа к ресурсам. Система постановки виброакустических и акустических помех "Шорох-1М".
курсовая работа [857,2 K], добавлен 31.05.2013Актуальность и важность технической защиты информации, нормативные документы. Анализ деятельности ООО "Технология защиты", информационные потоки. Обоснование угроз по техническим каналам. Разработка системы управления информационной безопасности.
дипломная работа [771,4 K], добавлен 13.06.2012Обработка информации, анализ каналов ее возможной утечки. Построение системы технической защиты информации: блокирование каналов несанкционированного доступа, нормативное регулирование. Защита конфиденциальной информации на АРМ на базе автономных ПЭВМ.
дипломная работа [398,5 K], добавлен 05.06.2011Основные принципы работы измерительного комплекса "Навигатор", возможность перехвата побочных электромагнитных излучений и наводок с защищаемого объекта. Определение требуемого радиуса контролируемой зоны для защиты конфиденциальной информации от утечки.
курсовая работа [1,4 M], добавлен 02.10.2013Определение перечня защищаемой информации и прав пользователей с учетом их должностных полномочий. Выявление путей несанкционированной утечки данных. Установка средств защиты информации, настройка антивирусных программ. Работа с журналами аудита системы.
курсовая работа [753,4 K], добавлен 29.11.2011Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".
дипломная работа [1,4 M], добавлен 05.06.2011Характеристики объектов защиты и требования к ним. Выявление каналов утечки и требования по защите. Средства защиты и их размещение. Альтернативная система защиты информации комплексным экранированием. Экранированные сооружения, помещения, камеры.
курсовая работа [2,1 M], добавлен 16.04.2012Методика анализа угроз безопасности информации на объектах информатизации органов внутренних дел. Выявление основных способов реализации утечки информации. Разработка модели угроз. Алгоритм выбора оптимальных средств инженерно-технической защиты данных.
курсовая работа [476,3 K], добавлен 19.05.2014Главные каналы утечки информации. Основные источники конфиденциальной информации. Основные объекты защиты информации. Основные работы по развитию и совершенствованию системы защиты информации. Модель защиты информационной безопасности ОАО "РЖД".
курсовая работа [43,6 K], добавлен 05.09.2013Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Характеристики объекта информатизации ОВД, с точки защищаемой информации. Способы утечки информации. Разработка предложений по защите информации на объекте информатизации ОВД. Алгоритм выбора оптимальных средств инженерно-технической защиты информации.
курсовая работа [693,1 K], добавлен 28.08.2014Анализ защищенности сетей предприятия на базе АТМ, архитектура объектов защиты в технологии. Модель построения корпоративной системы защиты информации. Методика оценки экономической эффективности использования системы. Методы снижения риска потери данных.
дипломная работа [1,2 M], добавлен 29.06.2012Характеристика предприятия. Технические каналы утечки, техника их моделирования: оптического, радиоэлектронного, акустического. Порядок проведения измерений и их анализ. Меры предотвращения утечки информации, программно-аппаратные средства ее защиты.
курсовая работа [36,1 K], добавлен 13.06.2012