Розробка комплексної системи захисту інформації об’єкта

Размещено на http://www.allbest.ru/

ІКТА

кафедра ЗІ

Курсова робота

з курсу:

«Комплексні системи захисту інформації»

на тему: «Розробка комплексної системи захисту інформації об'єкта»

Варіант 26

Виконала: ст. гр. УІ-42

Німченко О.Т.

Прийняв: Собчук І.С.

Львів 2015



Зміст

Вступ

Розділ 1. Аналіз об'єкта захисту

1.1 Опис об'єкта охорони

1.2 План схема розміщення будівлі

1.3 Позначення - номер і назва приміщення

1.4 Призначення - для чого призначене приміщення

1.5 Поверх на якому розміщене приміщення (план-схема)

1.6 План схема приміщення

Розділ 2. Опис рівнів захисту

2.1 Юридично-правовий захист інформації

2.2 Організаційні методи захисту інформації

2.3 Процедурні методи захисту інформації (заходи безпеки, орієнтовані на людей)

2.4 Програмно-технічні методи захисту інформації (інженерно-технічні засоби, апаратні засоби, програмні засоби)

Розділ 3. Захист виділеного приміщення

3.1 Технічні канали витоку телекомунікаційної інформації

3.2 Технічні канали витоку акустичної інформації

3.3 Засоби захисту виділеного приміщення

Розділ 4. Оцінка ефективності захисту об'єкта

4.1 Принцип роботи алгоритму оцінки ефективності захисту

4.2 Таблиця загроз та властивостей ресурсу

4.3 Розрахунок ефективності введення контрзаходу

Висновок

Список використаної літератури



Анотація

В даній курсовій роботі розглянуто питання розробки комплексної системи захисту інформації для конкретного об'єкта. Проаналізовано необхідність створення комплексної системи захисту інформації. Описано основні рівні захисту інформації та канали витоку інформації. Розроблені методи захисту виділеного приміщення. Та проведена оцінка ефективності захисту об'єкта.

Ключові слова: КСЗІ, юридично-правовий, організаційний, процедурний, програмно-технічний, канали витоку інформації.



Вступ

Комплексна система захисту інформації - сукупність організаційних і інженерно-технічних заходів, які спрямовані на забезпечення захисту інформації від розголошення, витоку і несанкціонованого доступу. Організаційні заходи є обов'язковою складовою побудови будь-якої КСЗІ. Інженерно-технічні заходи здійснюються в міру необхідності.

Головною метою створення КСЗІ є досягнення максимальної ефективності захисту за рахунок одночасного використання всіх необхідних ресурсів, методів і засобів, що виключають несанкціонований доступ до інформації, та створення умов обробки інформації відповідно до чинних нормативно-правових актів України у сфері захисту інформації: Закон України «Про захист інформації в інформаційно-телекомунікаційних системах», «Про доступ до публічної інформації» та «Про захист персональних даних».

Організаційні заходи

Організаційні заходи включають в себе створення концепції інформаційної безпеки, а також:

- складання посадових інструкцій для користувачів та обслуговуючого персоналу;

- створення правил адміністрування компонент інформаційної системи, обліку, зберігання, розмноження, знищення носіїв інформації, ідентифікації користувачів;

- розробка планів дій у разі виявлення спроб несанкціонованого доступу до інформаційних ресурсів системи, виходу з ладу засобів захисту, виникнення надзвичайної ситуації;

- навчання правилам інформаційної безпеки користувачів.

У разі необхідності, в рамках проведення організаційних заходів може бути створена служба інформаційної безпеки, проведена реорганізація системи діловодства та зберігання документів.

Інженерно-технічні заходи

Інженерно-технічні заходи - сукупність спеціальних технічних засобів та їх використання для захисту інформації. Вибір інженерно-технічних заходів залежить від рівня захищеності інформації, який необхідно забезпечити.

Інженерно-технічні заходи, що проводяться для захисту інформаційної інфраструктури організації, можуть включати використання захищених підключень, міжмережевих екранів, розмежування потоків інформації між сегментами мережі, використання засобів шифрування і захисту від несанкціонованого доступу.

У разі необхідності, в рамках проведення інженерно-технічних заходів, може здійснюватися установка в приміщеннях систем охоронно-пожежної сигналізації, систем контролю і управління доступом.

Окремі приміщення можуть бути обладнані засобами захисту від витоку акустичної (мовної) інформації.

Суб'єкти КСЗІ

У процес створення КСЗІ залучаються такі сторони:

- організація, для якої здійснюється побудова КСЗІ (Замовник);

- організація, що здійснює заходи з побудови КСЗІ (Виконавець);

- Адміністрація Державної служби спеціального зв'язку та захисту інформації України (Адміністрація Держспецзв'язку) (Контролюючий орган);

- організація, що здійснює державну експертизу КСЗІ (Організатор експертизи);

- організація, що в разі необхідності залучається Замовником або Виконавцем для виконання деяких робіт зі створення КСЗІ (Підрядник).

Об'єкти захисту КСЗІ

Об'єктом захисту КСЗІ є інформація, в будь-якому її вигляді і формі подання. Матеріальними носіями інформації є сигнали. По своїй фізичній природі інформаційні сигнали можна розділити на такі види: електричні, електромагнітні, акустичні, а також їх комбінації.

Сигнали можуть бути представлені у формі електромагнітних, механічних та інших видах коливань, причому інформація, яка підлягає захисту, міститься в їх змінних параметрах. Залежно від природи, інформаційні сигнали поширюються в певних фізичних середовищах. Середовища можуть бути газовими, рідинними і твердими. Наприклад, повітряний простір, конструкції будівель, з'єднувальні лінії і струмопровідні елементи, заземлення та інші.

Залежно від виду та форми подання інформаційних сигналів, які циркулюють в інформаційно-телекомунікаційній системі (ІТС), у тому числі і в автоматизованих системах (АС), при побудові КСЗІ можуть використовуватися різні засоби захисту.



Розділ 1. Аналіз об'єкта захисту

1.1 Опис об'єкта охорони

Будівля, в якій знаходиться об'єкт захисту, розташована в центрі міста, перед будинком розміщена вулиця по якій проходить рух транспорту і пішоходів, з правого та лівого боку будинку знаходяться відкриті площадки для відпочинку, за будинком розміщена стоянка автомобілів працівників, яка є під охороною. Приміщення захисту розміщене на 4 поверсі будинку, який має два входи і дві сходові клітки.

Перекриття: балочне - дерев'яні балки: 20-40 см в висоту, 8-20 см в ширину і до 15 м в довжину. Відстань між балками - в межах 60-150 см. Між балками кріпиться звукоізоляція з мінеральної вати.

Зовнішні стіни: цегляні, товщиною 0,4м.

Внутрішні стіни: цегляні, 0,25 м.

Вікна: пластикові вікна з подвійними склопакетами.

Двері: подвійні двері, дерев'яні.

Система вентиляції: природна та штучна.

- Природна створюється без застосування електрообладнання (вентиляторів, електродвигунів) і відбувається внаслідок природних факторів - різниці температур повітря (ззовні та всередині приміщення), зміни тиску, вітряного тиску. До неї відносяться вентиляційні короби.

- Штучна - моноблочна система вентиляції, розміщена в шумоізольованому корпусі.

Крім вентиляції у приміщені передбачено кондиціонування повітря.

Опалювання: в будинку автономна система опалення - водяна.

Електроживлення:

У будинку встановлено, в підвальному приміщенні:

- Стабілізатор напруги, що нормалізує мережеву напругу при тривалому зниженні або підвищенні напруги.

- Дизель-генераторна установка (ДГУ), що забезпечує електроживлення важливого обладнання при довготривалій відсутності напруги. Укомплектовано пристроєм, який забезпечує автоматичний запуск/зупинку станції при відсутності/відновленні подачі напруги.

- Джерело безперебійного живлення (ДБЖ), що постійно захищає побутову техніку і обладнання від проблем електроживлення.

В приміщеннях захисту є система електроживлення та електроосвітлення, відповідні складові якої під'єднані до ДБЖ та стабілізатора напруги.

Охоронно-пожежна сигналізація:

Пожежна сигналізація, що входить в склад охоронної, складається:

1) Пожежні датчики - прилади для подачі електричного сигналу про пожежу - комбіновані (тепло-димові);

2) Приймальні пристрої - служать для прийому сигналів про пожежу від пожежних датчиків, індикації номера об'єкта під охороною, з якого прийнято сигнал, і звукова сигналізація про отримання сигналу небезпеки, а також трансляція сигналу в підрозділ пожежної охорони;

3) Лінії зв'язку;

4) Джерела живлення.

Складові охоронної сигналізації:

1) Сенсори руху ;

2) Датчики розбиття скла ;

3) Датчики відкриття вікон та дверей.



1.2 План-схема розміщення будівлі

1.3 Позначення - номер і назва приміщення

Приміщення № 26 - режимний кабінет. Суміжними є також режимні кабінети, в яких циркулює закрита інформація.



1.4 Призначення - для чого призначене приміщення

У кабінеті функціонує закрита інформація. Закрита інформація належить до інформації з обмеженим доступом. Порядок доступу до закритої інформації регулюється Законом «Про доступ до публічної інформації».

1.5 Поверх на якому розміщене приміщення (план-схема)

Приміщення розташоване на четвертому поверсі будівлі, яка знаходиться в центрі міста.



1.6 План схема приміщення



Розділ 2. Опис рівнів захисту

Для побудови надійної системи захисту інформації потрібно спочатку визначити ряд можливих загроз для інформаційних ресурсів. Вибір методів аналізу стану забезпечення інформаційної безпеки залежить від конкретного рівня і сфери організації захисту. В залежності від загрози постає завдання щодо виокремлення як різних рівнів загроз, так і різних рівнів захисту. Розрізняють наступні рівні захисту:

· законодавчий (юридично-правовий);

· адміністративний (організаційний, накази та інші дії керівництва організацій, пов'язаних з інформаційними системами, що захищаються);

· процедурний (заходи безпеки, орієнтовані на людей);

· програмно-технічний (інженерно-технічний, апаратний, програмний).

захист інформація об'єкт

2.1 Юридично-правовий захист інформацій

Поняття права визначається як сукупність загальнообов'язкових правил і норм поведінки, які встановлені або санкціоновані державою, по відношенню до певних сфер життя та діяльності державних органів, підприємств (організацій) та населення (окремої особистості).

Правовий захист інформації як ресурсу признаний на міждержавному, державному рівні та визначається міждержавними договорами, конвенціями, деклараціями та реалізується патентами, авторським правом та ліцензіями на їхній захист.

У нашій державі такими правилами (актами, нормами) є Конституція України, закони України, цивільне, адміністративне, кримінальне право, викладене у відповідних кодексах. Що стосується відомчих нормативних актів, то вони визначаються наказами, керівництвами, положеннями та інструкціями, які видаються відомствами, організаціями та підприємствами, що діють у межах певних структур.

Вимоги інформаційної безпеки повинні органічно входити до усіх рівнів законодавства, у тому числі й у конституційне законодавство, основні загальні закони, закони з організації державної системи управління, спеціальні закони, відомчі правові акти і т. ін. Звичайно використовується наступна структура правових актів, які орієнтовані на правовий захист інформації.

Конституційне законодавство -- норми, що стосуються питань інформатизації та захисту інформації, входять до нього як складові елементи.

Загальні закони, кодекси (про власність, про надра, про права громадян, про громадянство, про податки, про антимонопольну діяльність і т. ін.), які включають норми з питань інформатизації та інформаційної безпеки.

Закони про організацію управління стосовно окремих структур господарства, економіки, системи державних органів та визначення їхнього статусу. Такі закони включають окремі норми з питань захисту інформації. Поряд із загальними питаннями інформаційного забезпечення та захисту інформації конкретного органу ці норми повинні встановлювати його обов'язки з формування, актуалізації та безпеки інформації, що представляє загальнодержавний інтерес.

Спеціальні закони, які відносяться до конкретних сфер відносин, галузей господарства, процесів. До їхнього числа входять Закони України "Про інформацію", "Про захист інформації в автоматизованих системах" і т. ін. Власне склад і зміст цього блоку законів і створює спеціальне законодавство як основу правового забезпечення інформаційної безпеки.

Підзаконні нормативні акти із захисту інформації.

Правоохоронне законодавство України, яке містить норми про відповідальність за правопорушення у сфері інформатизації.

Спеціальне законодавство в галузі безпеки інформації може бути представлене сукупністю законів. В їхньому складі особливе місце займають Закони "Про інформацію" та "Про захист інформації в автоматизованих системах", які закладають основи правового визначення всіх найважливіших компонентів інформаційної діяльності [31, 32]:

інформації та інформаційних систем;

суб'єктів -- учасників інформаційних процесів;

правовідносин виробників та споживачів інформаційної продукції;

власників (джерел) інформації -- обробників та споживачів на основі відносин власності при забезпеченні гарантій інтересів громадян та держави.

Питання правового режиму інформації з обмеженим доступом реалізуються у двох самостійних законах про державну та комерційну (проект) таємниці.

Таким чином, правовий захист інформації забезпечується нормативно-законодавчими актами, сукупність яких за рівнем представляє ієрархічну систему від Конституції України до функціональних обов'язків і контрактів конкретного виконавця, які визначають перелік відомостей, що підлягають охороні, і заходи відповідальності за їх розголошення.

2.2 Організаційні методи захисту інформації

Відповідно до законів і нормативних актів у міністерствах, відомствах, на підприємствах (незалежно від форм власності) для захисту інформації створюються спеціальні служби безпеки (на практиці вони можуть називатися й інакше). Ці служби підпорядковуються, як правило, керівництву установи. Керівники служб організують створення й функціонування систем захисту інформації. Повну відповідальність за стан інформаційної безпеки несуть керівники організації. На організаційному рівні вирішуються наступні завдання забезпечення безпеки інформації в системи:

· організація робіт з розробки системи захисту інформації;

· обмеження доступу на об'єкт і до ресурсів системи;

· розмежування доступу до ресурсів системи;

· планування заходів;

· розробка документації;

· виховання й навчання обслуговуючого персоналу й користувачів;

· сертифікація засобів захисту інформації;

· ліцензування діяльності по захисту інформації;

· атестація об'єктів захисту;

· удосконалювання системи захисту інформації;

· оцінка ефективності функціонування системи захисту інформації;

· контроль виконання встановлених правил роботи в системи.

Організаційні методи є базисом комплексної системи захисту інформації в системи. Тільки за допомогою цих методів можливе об'єднання на правовій основі технічних, програмних і криптографічних засобів захисту інформації в єдину комплексну систему. Конкретні організаційні методи захисту інформації будуть приводитися при розгляді протидії загрозам безпеки інформації. Найбільша увага організаційним заходам приділяється при викладі питань побудови й організації функціонування комплексної системи захисту інформації.

До методів і засобів організаційного захисту інформації відносяться організаційно-технічні й організаційно-правові заходи, проведені в процесі створення й експлуатації системи для забезпечення захисту інформації. Ці заходи повинні проводитися при будівництві або ремонті приміщень, у яких буде розміщатися системи; проектуванні системи, монтажі й налагодженню її технічних і програмних засобів; випробуваннях і перевірці працездатності системи.

Основні властивості методів і засобів організаційного захисту:

1. обмеження фізичного доступу до об'єктів захисту та реалізація режимних заходів;

2. обмеження можливості перехоплення ПЕМВН;

3. розмежування доступу до інформаційних ресурсів і процесам (встановлення правил розмежування доступу , шифрування інформації при її зберіганні і передачі , виявлення та знищення апаратних і програмних закладок);

4. резервне копіювання найбільш важливих з точки зору втрати масивів документів;

5. перед проведенням наради необхідно проводити візуальний огляд приміщення на предмет виявлення закладних пристроїв;

6. кількість осіб, що у конфіденційних переговорах має бути обмежена до мінімуму;

7. вхід сторонніх осіб під час проведення наради має бути заборонений;

8. повинна бути чітко розроблена охорона виділеного приміщення під час наради , а також спостереження за обстановкою на поверсі ;

9. будь-які роботи в кімнаті , що проводяться поза часом проведення конфіденційних нарад, наприклад: прибирання , ремонт побутової техніки, невеликий косметичний ремонт, повинен проводитися в обов'язковій присутності працівника служби безпеки;

10. після проведення наради кімната повинна ретельно оглядатися , закриватися і опечатуватися;

11. між нарадами кімната повинна бути закрита і опечатана відповідальною особою;

12. профілактику зараження комп'ютерними вірусами.

Основою проведення організаційних заходів є використання й підготовка законодавчих і нормативних документів в області інформаційної безпеки, які на правовому рівні повинні регулювати доступ до інформації з боку користувачів.

2.3 Процедурні методи захисту інформації (заходи безпеки, орієнтовані на людей)

До процедурного рівня належать заходи безпеки, що реалізуються людьми.

Можна виділити такі групи процедурних заходів:

· управління персоналом;

· фізичний захист;

· підтримка працездатності;

· реагування на порушення режиму безпеки;

· планування відновлювальних робіт.

Для кожної групи в кожній організації повинен існувати набір регламентів, які визначають дії персоналу. Своєю чергою, виконання цих регламентів потрібно відпрацьовувати на практиці.

Управління персоналом можна визначити як діяльність, що спрямована на досягнення найефективнішого використання працівників для досягнення цілей підприємства та особистісних цілей.

Також необхідно забезпечити фізичний захист устаткування від погроз порушення безпеки і небезпек, що представляються навколишнім середовищем. Захист устаткування інформаційних систем необхідний для того, щоб зменшити ризик несанкціонованого доступу до даних, так і для того, щоб не допустити його втрату або ушкодження. Варто також приділити увагу проблемам розміщення устаткування і його утилізації.

2.4 Програмно-технічні методи захисту інформації (інженерно-технічні засоби, апаратні засоби, програмні засоби)

Основне завдання інженерно-технічного захисту -- це попередження розголошення, витоку, несанкціонованого доступу та інших форм незаконного втручання в інформаційні ресурси.

Інженерно-технічні засоби реалізуються у виді автономних пристроїв і систем і виконують функції загального захисту об'єктів, на яких опрацьовується інформація. До них ставляться, наприклад, устрої захисту територій і будинків, замки на дверях, де розміщені апаратура, грати на вікнах, електронно-механічне устаткування охоронної сигнализації.

Під апаратними технічними засобами прийнято розуміти пристрої, що вбудовуються безпосередньо в обчислювальну техніку, у телекомунікаційну апаратуру, або пристрої, що працюють з подібною апаратурою по стандартному інтерфейсу. В наш час існує широкий спектр таких приладів, але найбільшого використання набули такі:

ь спеціальні регістри для збереження реквізитів захисту: паролів, кодів ідентифікації, грифів або рівнів секретності;

ь пристрої для вимірювання індивідуальних характеристик людини (голоси, відбитки) з метою його ідентифікації;

ь схеми переривання передачі інформації в лінії зв'язку з метою періодичної перевірки адреси видачі даних;

ь пристрої для шифрування інформації (криптографічні методи).

Програмні засоби складає сукупність програмного забезпечення, для ідентифікації користувачів, контролю доступу, шифрування інформації, знищення тимчасових файлів, тестового контролю системи захисту та інше. Використання програмних засобів захисту інформації має цілий ряд переваг - універсальність, гнучкість, надійність, простота у використанні то можливість модифікації.



Розділ 3. Захист виділеного приміщення

Сигнали є матеріальними носіями інформації. За своєю фізичною природою сигнали можуть бути електричними, електромагнітними, акустичними і т.д. Тобто сигналами, як правило, є електромагнітні, механічні й інші види коливань(хвиль), причому інформація міститься в їхніх параметрах, що змінюються.

У залежності від природи сигнали поширюються у визначених фізичних середовищах. У загальному випадку середовищем поширення можуть бути газові (повітряні), рідинні (водяні) і тверді середовища. Наприклад, повітряний простір, конструкції будинків, сполучні лінії і струмопровідні елементи, грунт (земля) і т.п.

В основному витоки інформації відбуваються технічними каналами. У залежності від фізичної природи виникнення інформаційних сигналів, а також середовища їхнього поширення і способів перехоплення технічними засобами розвідки технічні канали витоку можна розділити на :

· електромагнітні, електричні і параметричні - для телекомукаційної інформації;

· повітряні (прямі акустичні), вібраційні (віброакустичні), електроакустичні, оптико-електронні і параметричні - для мовної інформації;

3.1 Технічні канали витоку телекомунікаційної інформації

До електромагнітних каналів витоку інформації відносяться:

- Перехоплення побічних електромагнітних випромінювань (ПЕМВ) елементів ТЗПІ;

- Перехоплення ПЕМВ на частотах роботи високочастотних генераторів;

- Перехоплення ПЕМВ на частотах самозбудження підсилювачів низької частоти;

Перехоплення побічних електромагнітних випромінювань ТЗПІ здійснюється засобами радіо-, радіотехнічної розвідки.

Електричні канали витоку інформації включають:

- Зняття наводок ПЕМВ ТЗПІ зі сполучних ліній ДТЗС і сторонніх провідників;

- Зняття інформаційних сигналів з ліній електроживлення ТЗПІ;

- Зняття інформації шляхом установки в ТЗПІ електронних пристроїв перехоплення інформації;

Електронні пристрої перехоплення інформації, встановлювані в ТЗПІ, часто називають апаратними закладками. Перехоплена за допомогою заставних пристроїв інформація або безпосередньо передається через радіоканал, або спочатку записується на спеціальний запам'ятовуючий пристрій, а вже потім за командою передається на об'єкт, що її запитав.

Параметричний канал витоку інформації утвориться шляхом «високочастотного опромінення» ТЗПІ. Для перехоплення інформації з даного каналу необхідні спеціальні високочастотні генератори з антенами, що мають вузькі діаграми спрямованості, і спеціальні радіоприймальні пристрої.

3.2 Технічні канали витоку акустичної інформації

Для перехоплення акустичної (мовної) інформації використовуються:

- Портативні диктофони і провідні мікрофонні системи прихованого звукозапису;

- Спрямовані мікрофони;

- Акустичні радіозакладки;

- Акустичні мережні закладки;

- Акустичні інфрачервоні закладки;

- Акустичні телефонні закладки;

- Акустичні телефонні закладки типу «телефонне вухо»

3.3 Засоби захисту виділеного приміщення

Захист інформації від витоку технічними каналами досягається проектно-архітектурними рішеннями, проведенням організаційних і технічних заходів, а також виявленням портативних електронних пристроїв перехоплення інформації (закладних пристроїв).

Організаційний захід - це захід щодо захисту інформації, проведення якого не вимагає застосування спеціального розроблення технічних засобів. До них відносять :

· Залучення до проведення робіт із захисту інформацій організацій, що мають ліцензію на діяльність в області захисту інформації, видану відповідними органами;

· Встановлення категорій та атестація об'єктів ТЗПІ;

· Використання на об'єкті сертифікованих ТЗПІ і ДТЗС;

· Установлення контрольованої зони навколо об'єкта;

· Організація контролю й обмеження доступу на об'єкти ТЗПІ та у виділені приміщення;

Технічний захід - це захід щодо захисту інформації, що передбачає застосування спеціальних технічних засобів і реалізацію технічних рішень.

Технічні заходи спрямовані на закриття каналів витоку інформації шляхом ослаблення рівня інформаційних сигналів або зменшенням відношення сигнал/шум у місцях можливого розміщення портативних засобів розвідки чи їхніх датчиків до величин, що забезпечують неможливість виділення інформаційного сигналу засобом розвідки. До них відносяться:

- Установка на об'єктах ТЗПІ й у виділених приміщеннях технічних засобів і систем обмеження і контролю доступу.

- Екранування ТЗПІ і їхніх сполучних ліній;

- Заземлення ТЗПІ й екранів їхніх сполучних ліній;

- Звукоізоляція виділених приміщень.

- Установка спеціальних засобів типу «Граніт» у допоміжних технічних засобах і системах, що володіють «мікрофонним ефектом» і мають вихід за межі контрольованої зони;

- Установка спеціальних діелектричних вставок в екрани кабелів електроживлення, труб систем опалення, водопостачання, що мають вихід за межі контрольованої зони;

- Установка пристроїв гарантованого живлення ТЗПІ;

- Установка в колах електроживлення завадо поглинаючих фільтрів;

В даний час існує велика кількість різних типів фільтрів, що забезпечують ослаблення небажаних сигналів в різних ділянках частотного діапазону. Це фільтри нижніх і верхніх частот, смугові і загороджувальні фільтри. Основне призначення фільтрів - пропускати без значного ослаблення сигнали з частотами, які лежать в робочій смузі частот, і пригнічувати сигнали з частотами , лежачими за межами цієї смуги.

Захист від диктофонів і акустичних закладок : диктофони і акустичні закладки у своєму складі містять велику кількість напівпровідникових приладів, тому найефективнішим засобом їхнього виявлення є нелінійний локатор, установлюваний на вході у виділене приміщення і працюючий у складі системи контролю доступу.

Для виявлення працюючих у режимі запису диктофонів застосовуються так звані детектори диктофонів(принцип дії яких заснований на виявленні слабкого магнітного поля, створюваного генератором підмагнічування чи працюючим двигуном диктофона в режимі запису). Пристроїв придушення диктофонів використовуються як неперервні так і імпульсні сигнали.

Системи ультразвукового придушення (випромінюють потужні нечутні людським вухом ультразвукові коливання, що впливають безпосередньо на мікрофони диктофонів чи акустичних закладок, що призводить до перевантаження підсилювача НЧ диктофона чи акустичної закладки і тим самим до значних спотворень записуваних сигналів).

Просторове зашумлення :

- Просторове електромагнітне зашумлення з використанням генераторів шуму чи створення направлених завад;

- Створення акустичних і вібраційних перешкод з використанням генераторів акустичного шуму;

- Придушення диктофонів у режимі запису з використанням придушувачів диктофонів;

Знищення закладних пристроїв:

- Знищення закладних пристроїв, підключених до лінії, з використанням спеціальних генераторів імпульсів (випалювачів «жучків» )



Розділ 4. Оцінка ефективності захисту об'єкта

4.1 Принцип роботи алгоритму оцінки ефективності захисту

1. На першому етапі розраховується рівень загрози по вразливості Th на основі критичності і вірогідності реалізації загрози через дану вразливість. Рівень загрози показує, наскільки критичною є дія даної загрози на ресурс з врахуванням вірогідності її реалізації

(1)

де - критичність реалізації загрози (в %);

- ймовірність реалізації загрози через дану вразливість(в%).

Обчислюється одне або три значення залежно від кількості базових загроз. Значення рівня загрози по вразливості лежить в інтервалі від 0 до 1.

2. Для розрахунку рівня загрози по всіх вразливостях CTh, через які можлива реалізація даної загрози на ресурсі, підсумовуються отримані рівні загроз через конкретні вразливості по такій формулі:

Для режиму з однією базовою загрозою:

(2)

Для режиму з трьома базовими загрозами:

(3)

Значення рівня загрози по всіх вразливостях лежать в інтервалі від 0 до 1.

3. Аналогічно розраховується спільний рівень загроз по ресурсу CThR (враховуючи всі загрози, що діють на ресурс):

Для режиму з однією базовою загрозою:

(4)

Для режиму з трьома базовими загрозами:

(5)

Значення спільного рівня загрози знаходиться в інтервалі від 0 до 1.

4. Ризик по ресурсу R розраховується таким чином:

Для режиму з однією базовою загрозою:

(6)

де D - критичність ресурсу. Задається в грошах або рівнях.

Критичність ресурсу в рік обчислюється за наступною формулою:

(7)

Для режиму з трьома базовими загрозами:

(8)

де D_к,ц,д - критичність ресурсу для трьох загроз. Задається в грошах або рівнях.

(9)

R- сумарний ризик для трьох загроз.

Таким чином, значення ризик по ресурсу в рівнях (заданих користувачем) або грошах.

5. Ризик по інформаційній системі CR розраховується по формулі:

Для режиму з однією базовою загрозою:

- для режиму роботи в грошах:

(10)

- для режиму роботи в рівнях:

(11)

Для режиму роботи з трьома загрозами:

- для режиму роботи в грошах:

(12)

CR_к,ц,д- ризик по системі для кожного виду загроз;

CR - ризик за системою сумарний для трьох видів загроз.

(13)

- для режиму роботи в рівнях.

Для розрахунку ефективності введеного контрзаходу необхідно пройти послідовно по всьому алгоритму з врахуванням заданого контрзаходу. Тобто на виході користувач набуває значення двох ризиків - ризики без врахування контрзаходу (R_old) і ризик з врахуванням заданого контрзаходу (R_new) (або з урахуванням того, що вразливість закрита).

Ефективність введення контрзаходу розраховується по наступній формулі (E):

(14)

4.2 Таблиця загроз та властивостей ресурсу

Варіант №26. D= 260000

	Ймовірність реалізації загрози(%), P(V)	Критичність реалізації загрози(%), ER	Ймовірність реалізації загрози(%), з врахуванням контрзаходу	Критичність реалізації загрози(%),з врахуванням контрзаходу
Загроза1/Вразливість1	51	52	50	48
Загроза1/Вразливість2	48	49	47	47
Загроза2/Вразливість1	39	42	36	38
Загроза2/Вразливість2	32	36	28	34
Загроза3/Вразливість1	21	24	18	19
Загроза3/Вразливість2	55	58	52	56

4.3 Розрахунок ефективності введення контрзаходу

Розраховуємо рівень загрози по вразливості Th на основі критичності і вірогідності реалізації загрози через дану вразливість

	Ймовірність реалізацї загрози (%),P(V)	Критичність реалізації загрози(%), ER	Th	CTh	CThR	R	CR
Загроза1/Вразливість1	51	52	0,2652	0,438	0,731	190091	190091
Загроза1/Вразливість2	48	49	0,2352
Загроза2/Вразливість1	39	42	0,1638	0,2601
Загроза2/Вразливість2	32	36	0,1152
Загроза3/Вразливість1	21	24	0,0504	0,3533
Загроза3/Вразливість2	55	58	0,319

Аналогічно для ймовірності та критичності реалізації загрози з врахуванням контрзаходу:

	Ймовірність реалізацї загрози з врахуванням контрзаходу (%),P(V)	Критичність реалізації загрози зврахуванням контрзаходу(%), ER	Th	CTh	CThR	R	CR
Загроза1/Вразливість1	50	48	0,24	0,4079	0,683	177690	177690
Загроза1/Вразливість2	47	47	0,2209
Загроза2/Вразливість1	36	38	0,1368	0,219
Загроза2/Вразливість2	28	34	0,0952
Загроза3/Вразливість1	18	19	0,0342	0,3154
Загроза3/Вразливість2	52	56	0,2912

Ефективність введення контрзаходу розраховується по наступній формулі (E):

*100=6,524%



Висновок

Підводячи підсумок, можна сказати, що створення комплексної системи захисту інформації потребує глобального підходу до всіх аспектів цього питання. Саме поетапне виконання правового, організаційного, інженерно-технічного, апаратного та програмного рівнів побудови інформаційної безпеки дасть можливість створити цілісну систему для забезпечення надійної безпеки інформації.

В ході даної курсової роботи я:

- Провела аналіз проблеми розробки комплексної системи захисту інформації об'єкта;

- Розглянула актуальність цієї теми та ознайомилася з основними рівнями захисту інформації;

- Визначила основні канали витоку інформації та описала засоби захисту виділеного приміщення;

- Провела оцінку ефективності захисту об'єкта.



Список використаної літератури

1. В.М. Богуш О. К. Юдін, «Інформаційна безпека держави» Видавництво: МК-Пресс, 2005 р.

2. Закон України «Про доступ до публічної інформації» // (ВВР), 2011, № 32, ст. 314

3. Закон України «Про информацію» // ВВР. -1996,-№36

4. Л.Пархуць «методи і засоби захисту інформації» конспект лекцій частина 1, Львів-2010.

5. Комплексна система захисту інформації [Електронний ресурс] - режим доступу : http://altersign.com.ua/korysna-informacija/pobudova-kszi/shcho-take-kompleksna-systema-zahystu-informaciji-kszi

6. Канали витоку інформації ї [Електронний ресурс] - режим доступу http://www.tzi.ua/ua/organzacjn_metodi_zahistu_nformac.html

Размещено на Allbest.ru

...