Автор работы: Пользователь скрыл имя, 12 Декабря 2013 в 15:39, курсовая работа
Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
Согласно ГОСТу 350922-96, защита информации - это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Введение
3
Моделирование
5
1.1. Перечень защищаемых сведений на объекте
5
1.2. Перечень источников защищаемой информации
6
1.3. Перечень носителей защищаемой информации
6
1.4. Заданные модели злоумышленников применительно к объекту
6
1.5. Дерево угроз для объекта
8
Анализ безопасности системы
10
2.1. Возможные каналы утечки информации
10
2.2. Вероятности реализации угроз безопасности информации
13
3. План мероприятий по внедрению средств инженерной (физической) безопасности и охраны
16
4. Список технических средств безопасности, которые необходимо внедрить
17
5. Список рекомендаций по организационным мерам защиты информации
18
6. Смета на приобретение оборудования и выполнение работ по внедрению системы защиты
19
Выводы:
2. Анализ безопасности системы
2.1. Возможные каналы утечки информации.
Каналы утечки информации, методы и пути утечки информации из информационной системы играют основную роль в защите информации, как фактор информационной безопасности.
Канал утечки информации – совокупность источника информации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя. Одним из основных свойств канала является месторасположение средства выделения информации из сигнала или носителя, которое может располагаться в пределах контролируемой зоны, охватывающей или вне ее.
Все каналы утечки данных можно разделить на косвенные и прямые. Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы. Прямые соответственно требуют доступа к аппаратному обеспечению и данным информационной системы.
В системе УЦ могут быть следующие каналы утечки информации:
1) Акустический канал утечки информации:
- подслушивание разговоров в помещениях, находясь рядом или используя направленные микрофоны;
- негласная запись разговоров на диктофон или магнитофон (в т.ч. цифровые диктофоны, активизирующиеся голосом);
- подслушивание разговоров с использованием выносных микрофонов (дальность действия радиомикрофонов 50-200 метров без ретрансляторов).
2) Электромагнитный канал утечки информации:
- перехват разговоров по мобильному телефону;
- снятие наводок с силовых сетей электропитания;
- снятие наводок с проводов заземления;
- снятие наводок с линий связи между компьютерами;
3) Телефонный канал утечки информации:
- гальванический съем телефонных переговоров (путем контактного подключения подслушивающих устройств в любом месте абонентской телефонной сети);
- телефонно-локационный способ (путем высокочастотного навязывания). По телефонной линии подается высокочастотный тональный сигнал, который воздействует на нелинейные элементы телефонного аппарата (диоды, транзисторы, микросхемы) на которые также воздействует акустический сигнал. В результате в телефонной линии формируется высокочастотный модулированный сигнал;
- индуктивный и емкостной способ негласного съема телефонных переговоров (Индуктивный способ – за счет электромагнитной индукции, возникающей в процессе телефонных переговоров вдоль провода телефонной линии. Емкостной способ – за счет формирования на обкладках конденсатора электростатического поля, изменяющегося в соответствии с изменением уровня телефонных переговоров.);
- подключение к телефонной линии подслушивающих устройств, которые преобразованные микрофоном звуковые сигналы передают по телефонной линии на высокой или низкой частоте (позволяют прослушивать разговор как при поднятой, так и при опущенной телефонной трубке);
- использование телефонных дистанционных подслушивающих устройств;
4) Оптический канал утечки информации:
- использование фото- и видео-камер ( в т.ч. скрытых);
- наблюдение за персоналом и офисом без использования технических средств;
5) Информационный канал утечки информации:
- прослушивание трафика;
- НСД на сервер под видом администратора;
- кража информации с
помощью использования
- прямое копирование информации;
6) Кража, утеря носителей информации:
- физический НСД к оборудованию и носителям информации;
- выпытывание информации у персонала с использованием шантажа, пыток, угроз и т.д.;
7) Человеческий фактор:
- болтливость персонала;
- халатность персонала.
Получение защищаемой информации может осуществиться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).
Технические средства съема информации могут располагаться следующими способами:
- установка средств съема информации в ограждающие конструкции помещений во время строительных, ремонтных и реконструкционных работ;
- установка средств съема информации в предметы мебели, другие предметы интерьера и обихода, различные технические средства как общего назначения, так и предназначенные для обработки информации;
- установка средств съема информации в предметы обихода, которые вручаются в качестве подарков, а впоследствии могут использоваться для оформления интерьера служебных помещений;
- установка средств съема информации в ходе профилактики инженерных сетей и систем. При этом в качестве исполнителя могут быть использованы даже сотрудники ремонтных служб.
2.2. Вероятности реализации угроз безопасности информации.
Для определения финансовых
рисков необходимо знать стоимость
активов и вероятность
Информацию об активах и ее стоимость предоставляет заказчик. Данная информация предоставлена в таблице 1 п.1.1.
Вероятность реализации угрозы определяется вербальным способом, т.е. на основе мнений экспертов.
Вероятности реализации угроз и расчет финансовых рисков представлены в таблицах 5, 6, 7.
Таблица 5: Вероятности реализации
угроз и финансовые риски при
нарушении доступности
Угрозы утечки информации
при нарушении доступности |
Вероятность (Y) |
Стоимость информации (S) |
Информация |
Финансовый риск, руб.
R=Y*S |
Кража оборудования |
0,2 |
600000 |
Восстановление оборудование, ПДн, ПО, секретного ключа |
120000 |
Кража персональных данных клиентов (удаленно) |
0,05 |
20000 |
Восстановление ПДн |
1000 |
Кража персональных данных клиентов (физически) |
0,05 |
20000 |
Восстановление картотеки |
1000 |
Блокирование доступа |
0,05 |
20000 |
Восстановление доступа |
1000 |
Блокирование доступа клиентам |
0,05 |
20000 |
Восстановление доступа |
1000 |
Dos - атаки |
0,1 |
20000 |
Восстановление системы |
2000 |
Шантаж, подкуп персонала и т.д., с целью выяснения информации об объекте и(или) ведения преступных действий |
0,05 |
20000 |
Утеря статуса доверенного УЦ |
1000 |
Внедрение в фирму работника конкурентом |
0,05 |
20000 |
Утеря статуса доверенного УЦ |
1000 |
Шантаж, подкуп разработчика и т.д., с целью внедрения уязвимостей |
0,05 |
20000 |
Утеря статуса доверенного УЦ |
1000 |
Отключение электричества |
0,2 |
20000 |
Простой |
4000 |
Стихийные бедствия (пожары, ураганы и т.д.) |
0,1 |
525000 |
Восстановление оборудования, восстановление картотеки, простой |
640000 |
Итого |
773000 |
Таблица 6: Вероятности реализации угроз и финансовые риски при нарушении конфиденциальности информации
Угрозы утечки информации
при нарушении |
Вероятность (Y) |
Стоимость информации (S) |
Информация |
Финансовый риск, руб.
R=Y*S |
Прослушка через установленные микрофоны |
0,1 |
15000 |
Информация о клиентах, персонале, оборудовании |
1500 |
Прослушка через улавливание вибрации |
0,05 |
15000 |
Информация о клиентах, персонале, оборудовании |
750 |
Прослушка через телефон, сигнализацию и сеть |
0,1 |
15000 |
Информация о клиентах, персонале, оборудовании |
1500 |
Снятие ЭМИ с силовых цепей электропитания |
0,1 |
15000 |
Информация о клиентах, персонале, оборудовании |
1500 |
Перехват трафика |
0,2 |
15000 |
Информация о клиентах, персонале, оборудовании |
3000 |
Установка шпионских программ |
0,2 |
15000 |
Информация о клиентах, персонале, оборудовании |
3000 |
Удаленный доступ к серверу с правами администратора |
0,2 |
15000 |
Информация о клиентах, персонале, оборудовании |
3000 |
Прямое копирование информации |
0,2 |
15000 |
Информация о клиентах, персонале, оборудовании |
3000 |
Кража оборудования |
0,2 |
600000 |
Информация о клиентах, персонале, оборудовании |
120000 |
Итого |
137250 |
Таблица 7: Вероятности реализации угроз и финансовые риски при нарушении целостности информации
Угрозы утечки информации
при нарушении |
Вероятность (Y) |
Стоимость информации (S) |
Информация |
Финансовый риск, руб.
R=Y*S |
Изменение баз данных |
0,3 |
20000 |
Восстановление БД |
6000 |
Удаление баз данных |
0,3 |
20000 |
Восстановление БД |
6000 |
Подделка электронной подписи |
0,05 |
1000000 |
Утрата статуса доверенного УЦ |
50000 |
Изменения баз данных |
0,05 |
20000 |
Восстановление БД |
1000 |
Халатность персонала |
0,3 |
25000 |
Ремонт оборудования, восстановление БД |
7500 |
Некомпетентность персонала |
0,3 |
25000 |
Ремонт оборудования, восстановление БД |
7500 |
Итого |
78000 |
Общая сумма финансовых рисков составила 988 250 руб.
3. План мероприятий по внедрению средств инженерной (физической) безопасности и охраны.
План мероприятий по внедрению средств инженерной (физической) безопасности и охраны, представляю в таблице 8.
Таблица 8: Список технических средств безопасности
Очередность реализации |
Описание |
Перечисление требуемых ресурсов |
1 |
Для фиксирования попытки проникновения в кабинеты, когда рабочий день окончен |
Пломбы с печатью на двери комнат (1), (2), (3) |
2 |
Для фиксирования попытки проникновения в сейф |
Пломба с печатью на сейф |
3 |
Необходимо для предотвращения передачи сигнала с помощью жучка |
НЧ и ВЧ глушилка в комнату (1) и (2) |
4 |
Для фиксирования, кому и в какое время выдается ключ |
Фиксирование времени выдачи ключей на вахте |
5 |
Для видео фиксации происходящего в комнатах. Видео сервер необходимо поставить в комнате (1) в серверную стойку |
Камеры видео наблюдения в комнатах (2) и (3) |
Информация о работе Разработка системы информационной защиты объекта