Разработка системы информационной защиты объекта

Федеральное агентство по образованию  РФ

Череповецкий государственный  университет

Институт информационных технологий

 

 

 

         Кафедра: ИБ

Дисциплина:

Инженерно техническая защита информации

 

 

 

Курсовая работа

на тему: «Разработка системы информационной защиты объекта»

 

 

Выполнил:

студент группы 1ВСЗИ-21

Степановский А.М.

 Проверил: Иванов К.В.

Оценка  

Подпись  

 

 

 

Череповец

2012

Содержание

Введение	3
Моделирование	5
1.1. Перечень защищаемых сведений на объекте	5
1.2. Перечень источников защищаемой информации	6
1.3. Перечень носителей защищаемой информации	6
1.4. Заданные модели злоумышленников применительно к объекту	6
1.5. Дерево угроз для объекта	8
Анализ безопасности системы	10
2.1. Возможные каналы утечки информации	10
2.2. Вероятности реализации угроз безопасности информации	13
3. План мероприятий по внедрению средств инженерной (физической) безопасности и охраны	16
4. Список технических средств безопасности, которые необходимо внедрить	17
5. Список рекомендаций по организационным мерам защиты информации	18
6. Смета на приобретение оборудования и выполнение работ по внедрению системы защиты	19
Выводы:	22

 

 

Введение

 

Становление информационного  общества связано с широким распространением персональных компьютеров, построением  глобальной информационной Сети и подключения  к ней большого числа пользователей. Эти достижения должны коренным образом  изменить жизнь общества, выдвинув на передний план деятельность, связанную  с производством, потреблением, трансляцией  и хранением информации.

Одной из наиболее серьезных  проблем, затрудняющих применение информационных технологий, является обеспечение информационной безопасности.

Информационная безопасность – такое состояние рассматриваемой  системы, при котором она, с одной  стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних угроз, а с другой – её функционирование не создаёт информационных угроз  для элементов самой системы  и внешней среды.

Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или  реально существующую опасность, связанную  с утечкой информации или несанкционированными и непреднамеренными воздействиями  на нее.

Компьютерная революция  помогла информации стать центром  внимания основополагающих воззрений. Признание информации основой жизни  вряд ли сводимо к внутренним мотивациям. Социальные, экономические и политические науки в попытках осознания происходящих перемен обращают пристальное внимание на компьютерную информацию, как на новый фактор глобального влияния.

Интересы государства  в информационной сфере заключаются  в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных  прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения  незыблемости конституционного строя, суверенитета и территориальной  целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного  и взаимовыгодного международного сотрудничества.

Согласно ГОСТу 350922-96, защита информации - это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и  непреднамеренных воздействий на защищаемую информацию.

Целью курсовой работы является:

Обеспечить безопасность секретного ключа УЦ (первоочередная задача), персональных данных клиентов, хранящихся в картотеке, безопасность разговоров с клиентами в комнате (2), невозможность вмешательства  в работу серверов в комнате (1) и  снятия с них информации.

 

1. Моделирование

1.1. Перечень защищаемых сведений на объекте.

В перечень защищаемых сведений на объекте  необходимо включить все сведения, нарушения конфиденциальности, доступности  и целостности которых приведут или могут привести к значительным убыткам.

Расчет цены указанных сведений для УЦ на 1500 клиентов производится относительно минимальной стоимости  создания УЦ и необходимого уставного  капитала. Но в следствие того, что законом об ЭП не установлена минимальная сумма уставного капитала, а сказано, что она устанавливается правительством РФ, для расчета примем минимальную сумму уставного капитала равную 120000 руб. Минимальная стоимость оборудования помещения и установки технических и программных средств принимается равной 600000 руб.(без учета стоимости аренды помещения).  

Таблица 1 - Перечень защищаемых сведений на объекте

№	Защищаемые сведения на объекте	Цена сведений, руб
1	Информация о графике  работы персонала	5000
2	Информация о расположении комнат внутри помещения	8000
3	Информация о месте  хранения ключей от комнат	8000
4	Персонал (лицензия на право  работы, доступ к секретной информации)	15000
5	Информация о персональных данных клиентов на серверах	20000
6	Информация об оборудовании установленном в комнатах	20000
7	Парольные фразы и другая информация, передаваемые клиентам в  комнате 2	20000
8	Картотека персональных данных клиентов	20000
9	Программное обеспечение	50000
10	Секретный ключ УЦ	500000
11	Оборудование установленное в комнатах	600000

 

 

1.2. Перечень источников защищаемой информации.

В перечень источников защищаемой информации включаются технические средства, бумажные и электронные носители, на которых  присутствует защищаемая информация, а так же люди которые различными способами могут получить эту  информацию.

Таблица 2 - Перечень источников защищаемой информации

№	Источники защищаемых сведений
1	Клиенты УЦ
2	Руководство и персонал УЦ
3	Персонал здания НИИ
4	Картотека персональных данных (в т.ч. копии договоров и сертификатов)
5	Сеть
6	Защищенный носитель секретного ключа
7	ПК на котором генерируются ключи и тестируются парольные фразы
8	Сервер №1, сервер №2

 

1.3. Перечень носителей защищаемой информации.

В перечень носителей защищаемой информации включаются технические средства, бумажные и электронные носители, на которых  присутствует защищаемая информация.

Таблица 3 - Перечень носителей защищаемой информации

№	Носители защищаемых сведений
1	Картотека персональных данных (в т.ч. копии договоров и сертификатов)
2	Защищенный носитель секретного ключа
3	ПК на котором генерируются ключи и тестируются парольные фразы
4	Сервер №1, сервер №2

 

1.4. Заданные модели злоумышленников применительно к объекту.

В качестве нарушителя рассматривается  субъект, имеющий доступ к работе со штатными средствами автоматизированной системы (АС). Под злоумышленником  в общем виде можно рассматривать  лицо или группу лиц, которые в  результате предумышленных или непредумышленных действий обеспечивает реализацию угроз  информационной безопасности.

Модель нарушителя — абстрактное описание нарушителя правил разграничения доступа.

Построение модели злоумышленника – это процесс классификации  потенциальных нарушителей. Построим модель по следующим параметрам:

• тип злоумышленника (конкурент, клиент, разработчик, сотрудник компании и т.д.);
• цели злоумышленника (умышленный сбой работы системы, неумышленный сбой работы системы, хищение информации, хищение оборудования);
• положение злоумышленника по отношению к объектам защиты (внутренний, внешний);
• уровень знаний об объектах защиты и окружении (высокий, средний, низкий);
• уровень возможностей по доступу к объектам защиты (максимальные, средние, минимальные);
• время действия (постоянно, в определенные временные интервалы);

модель представлена в  виде таблицы 4 :

Таблица 4 – Модель злоумышленников

№	Параметры	Тип 1: Конкурент	Тип 2: Разработчик	Тип 3: Сотруд-ник кампании	Тип 1: ООГ
1	Цели злоу-мышленника	- сбой работы системы; - хищение информации;	- сбой работы системы; - хищение информации;	- сбой работы системы; - хищение информации;	- сбой работы системы; - хищение информации;
2	Положение злоу-мышленника	- внешний;	- внешний; - внутренний;	- внутренний;	- внешний;
3	Уровень знаний	- низкий;	- высокий;	- средний;	- низкий;
4	Уровень возмож-ностей	- минимальные;	- максималь-ные;	- средние;	- минимальные;
5	Время действия	- постоянно;	- в определенные временные  интервалы;	- в определенные временные  интервалы	- постоянно;

 

 

1.5. Дерево угроз для объекта.

В общем случае под угрозой принято понимать 
потенциально возможное событие, действие, процесс или явление, которое 
может привести к нанесению ущерба чьим-либо интересам. В свою очередь, 
угроза информационной безопасности автоматизированной системы - это 
возможность реализации воздействия на информацию, обрабатываемую в 
автоматизированной      системе,                приводящего      к      нарушению конфиденциальности, целостности или доступности этой информации, а также возможность воздействия на компоненты автоматизированной системы, приводящего к их утрате, уничтожению или сбою функционирования.

Классификация угроз может  быть проведена по множеству признаков, однако на практике чаще всего используется следующая основная классификация угроз, основывающаяся на трёх базовых свойствах защищаемой информации:

1. Угрозы нарушения конфиденциальности информации, в результате реализации которых информация становится доступной субъекту, не располагающему полномочиями для ознакомления с ней.
2. Угрозы нарушения целостности информации, к которым относится любое злонамеренное искажение информации, обрабатываемой с использованием автоматизированных систем.
3. Угрозы нарушения доступности информации, возникающие в тех случаях, когда доступ к некоторому ресурсу автоматизированной системе для легальных пользователей блокируется. Отметим, что реальные угрозы информационной безопасности далеко не всегда можно строго отнести к какой-то одной из перечисленных категорий. Так, например, угроза хищения носителей информации может быть при определённых условиях отнесена ко всем трём категориям. Заметим, что перечисление угроз, характерных для той или иной автоматизированной системы, является важным этапом анализа уязвимостей автоматизированных систем, проводимого, например, в рамках аудита информационной безопасности, и создаёт базу для последующего проведения анализа рисков.

Дерево угроз для УЦ, данного в задании, очень большое, поэтому оно разбито на три части, представленные на рисунках 1, 2, 3. Для каждой ветви дерева рассчитаны и представлены вероятности реализации угроз.

Рисунок 1 – Дерево угроз  «Нарушение доступности информации»

 

Рисунок 2 – Дерево угроз  «Нарушение конфиденциальности информации»

 

Рисунок 3 – Дерево угроз  «Нарушение целостности информации»