Разработка системы информационной защиты объекта

Автор работы: Пользователь скрыл имя, 12 Декабря 2013 в 15:39, курсовая работа

Краткое описание

Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
Согласно ГОСТу 350922-96, защита информации - это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Содержание

Введение
3
Моделирование
5
1.1. Перечень защищаемых сведений на объекте
5
1.2. Перечень источников защищаемой информации
6
1.3. Перечень носителей защищаемой информации
6
1.4. Заданные модели злоумышленников применительно к объекту
6
1.5. Дерево угроз для объекта
8
Анализ безопасности системы
10
2.1. Возможные каналы утечки информации
10
2.2. Вероятности реализации угроз безопасности информации
13
3. План мероприятий по внедрению средств инженерной (физической) безопасности и охраны
16
4. Список технических средств безопасности, которые необходимо внедрить
17
5. Список рекомендаций по организационным мерам защиты информации
18
6. Смета на приобретение оборудования и выполнение работ по внедрению системы защиты
19
Выводы:

Вложенные файлы: 1 файл

курсовая ИТЗИ.docx

— 353.63 Кб (Скачать файл)

 

2. Анализ безопасности системы

2.1. Возможные каналы утечки информации.

Каналы утечки информации, методы и пути утечки информации из информационной системы играют основную роль в защите информации, как фактор информационной безопасности.

Канал утечки информации –  совокупность источника информации, материального носителя или среды  распространения несущего указанную  информацию сигнала и средства выделения информации из сигнала или носителя. Одним из основных свойств канала является месторасположение средства выделения информации из сигнала или носителя, которое может располагаться в пределах контролируемой зоны, охватывающей или вне ее.

Все каналы утечки данных можно разделить на косвенные и прямые. Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы. Прямые соответственно требуют доступа к аппаратному обеспечению и данным информационной системы.

В системе УЦ могут быть следующие каналы утечки информации:

1) Акустический канал утечки информации:

- подслушивание разговоров в помещениях, находясь рядом или используя направленные микрофоны;

- негласная запись разговоров на диктофон или магнитофон (в т.ч. цифровые диктофоны, активизирующиеся голосом);

- подслушивание разговоров с использованием выносных микрофонов (дальность действия радиомикрофонов 50-200 метров без ретрансляторов).

2) Электромагнитный канал утечки информации:

- перехват разговоров по мобильному телефону;

- снятие наводок с силовых сетей электропитания;

- снятие наводок с проводов заземления;

- снятие наводок с линий связи между компьютерами;

3) Телефонный канал утечки информации:

- гальванический съем телефонных переговоров (путем контактного подключения подслушивающих устройств в любом месте абонентской телефонной сети);

- телефонно-локационный способ (путем высокочастотного навязывания). По телефонной линии подается высокочастотный тональный сигнал, который воздействует на нелинейные элементы телефонного аппарата (диоды, транзисторы, микросхемы) на которые также воздействует акустический сигнал. В результате в телефонной линии формируется высокочастотный модулированный сигнал;

- индуктивный и емкостной способ негласного съема телефонных переговоров (Индуктивный способ – за счет электромагнитной индукции, возникающей в процессе телефонных переговоров вдоль провода телефонной линии. Емкостной способ – за счет формирования на обкладках конденсатора электростатического поля, изменяющегося в соответствии с изменением уровня телефонных переговоров.);

- подключение к телефонной линии подслушивающих устройств, которые преобразованные микрофоном звуковые сигналы передают по телефонной линии на высокой или низкой частоте (позволяют прослушивать разговор как при поднятой, так и при опущенной телефонной трубке);

- использование телефонных дистанционных подслушивающих устройств;

4) Оптический канал утечки  информации:

- использование фото- и видео-камер ( в т.ч. скрытых);

- наблюдение за персоналом  и офисом без использования  технических средств;

5) Информационный канал  утечки информации:

- прослушивание трафика;

- НСД на сервер под  видом администратора;

- кража информации с  помощью использования шпионского  ПО;

- прямое копирование информации;

6) Кража, утеря носителей  информации:

- физический НСД к оборудованию и носителям информации;

- выпытывание информации  у персонала с использованием  шантажа, пыток, угроз и т.д.;

7) Человеческий фактор:

- болтливость персонала;

- халатность персонала.

Получение защищаемой информации может осуществиться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).

Технические средства съема  информации могут располагаться следующими способами:

- установка средств съема информации в ограждающие конструкции помещений во время строительных, ремонтных и реконструкционных работ;

- установка средств съема информации в предметы мебели, другие предметы интерьера и обихода, различные технические средства как общего назначения, так и предназначенные для обработки информации;

- установка средств съема информации в предметы обихода, которые вручаются в качестве подарков, а впоследствии могут использоваться для оформления интерьера служебных помещений;

- установка средств съема информации в ходе профилактики инженерных сетей и систем. При этом в качестве исполнителя могут быть использованы даже сотрудники ремонтных служб.

 

2.2. Вероятности реализации угроз безопасности информации.

Для определения финансовых рисков необходимо знать стоимость  активов и вероятность осуществление  угрозы, которая может каким-либо повлиять на этот актив.

Информацию об активах  и ее стоимость предоставляет  заказчик. Данная информация предоставлена  в таблице 1 п.1.1.

Вероятность реализации угрозы определяется вербальным способом, т.е. на основе мнений экспертов.

Вероятности реализации угроз  и расчет финансовых рисков представлены в таблицах 5, 6, 7.

 

 

Таблица 5: Вероятности реализации угроз и финансовые риски при  нарушении доступности информации

Угрозы утечки информации при нарушении доступности информации

Вероятность (Y)

Стоимость информации (S)

Информация

Финансовый риск, руб.                       R=Y*S                                        (S - предполагаемая стоимость информации)

Кража оборудования

0,2

600000

Восстановление оборудование, ПДн, ПО, секретного ключа

120000

Кража персональных данных клиентов (удаленно)

0,05

20000

Восстановление ПДн

1000

Кража персональных данных клиентов (физически)

0,05

20000

Восстановление картотеки

1000

Блокирование доступа администраторам

0,05

20000

Восстановление доступа

1000

Блокирование доступа клиентам

0,05

20000

Восстановление доступа

1000

Dos - атаки

0,1

20000

Восстановление системы

2000

Шантаж, подкуп персонала  и т.д., с целью выяснения информации об объекте и(или) ведения преступных действий

0,05

20000

Утеря статуса доверенного УЦ

1000

Внедрение в фирму работника  конкурентом

0,05

20000

Утеря статуса доверенного УЦ

1000

Шантаж, подкуп разработчика  и  т.д., с целью внедрения уязвимостей

0,05

20000

Утеря статуса доверенного УЦ

1000

Отключение электричества

0,2

20000

Простой

4000

Стихийные бедствия (пожары, ураганы  и т.д.)

0,1

525000

Восстановление оборудования, восстановление картотеки, простой

640000

Итого

773000


 

Таблица 6: Вероятности реализации угроз и финансовые риски при нарушении конфиденциальности информации

Угрозы утечки информации при нарушении конфиденциальности информации

Вероятность (Y)

Стоимость информации (S)

Информация

Финансовый риск, руб.                       R=Y*S                                        (S - предполагаемая стоимость информации)

Прослушка через установленные микрофоны

0,1

15000

Информация о клиентах, персонале, оборудовании

1500

Прослушка через улавливание вибрации

0,05

15000

Информация о клиентах, персонале, оборудовании

750

Прослушка через телефон, сигнализацию и сеть

0,1

15000

Информация о клиентах, персонале, оборудовании

1500

Снятие ЭМИ с силовых цепей  электропитания

0,1

15000

Информация о клиентах, персонале, оборудовании

1500

Перехват трафика

0,2

15000

Информация о клиентах, персонале, оборудовании

3000

Установка шпионских программ

0,2

15000

Информация о клиентах, персонале, оборудовании

3000

Удаленный доступ к серверу с  правами администратора

0,2

15000

Информация о клиентах, персонале, оборудовании

3000

Прямое копирование информации

0,2

15000

Информация о клиентах, персонале, оборудовании

3000

Кража оборудования

0,2

600000

Информация о клиентах, персонале, оборудовании

120000

Итого 

137250


 

 

 

 

 

Таблица 7: Вероятности реализации угроз и финансовые риски при нарушении целостности информации

Угрозы утечки информации при нарушении конфиденциальности информации

Вероятность (Y)

Стоимость информации (S)

Информация

Финансовый риск, руб.                       R=Y*S                                        (S - предполагаемая стоимость информации)

Изменение баз данных

0,3

20000

Восстановление БД

6000

Удаление баз данных

0,3

20000

Восстановление БД

6000

Подделка электронной подписи

0,05

1000000

Утрата статуса доверенного УЦ

50000

Изменения баз данных

0,05

20000

Восстановление БД

1000

Халатность персонала

0,3

25000

Ремонт оборудования, восстановление БД

7500

Некомпетентность персонала

0,3

25000

Ремонт оборудования, восстановление БД

7500

Итого

78000


 

Общая сумма финансовых рисков составила 988 250 руб.

 

3. План мероприятий по внедрению средств инженерной (физической) безопасности и охраны.

План мероприятий по внедрению средств инженерной (физической) безопасности и охраны, представляю  в таблице 8.

Таблица 8: Список технических  средств безопасности

Очередность реализации

Описание

Перечисление требуемых  ресурсов

1

Для фиксирования попытки проникновения в кабинеты, когда рабочий день окончен

Пломбы с печатью на двери комнат (1), (2), (3)

2

Для фиксирования попытки проникновения в сейф

Пломба с печатью на сейф

3

Необходимо для предотвращения передачи сигнала с помощью жучка

НЧ и ВЧ глушилка в комнату (1) и (2)

4

Для фиксирования, кому и в какое  время выдается ключ

Фиксирование времени выдачи ключей на вахте

5

Для видео фиксации происходящего  в комнатах. Видео сервер необходимо поставить в комнате (1) в серверную  стойку

Камеры видео наблюдения в комнатах (2) и (3)

Информация о работе Разработка системы информационной защиты объекта