Программно-аппаратные средства защиты информации. Классификация автоматизированных систем. Подсистема управления доступом. Шифрование конфиденциальной информации. Составление модели проникновения нарушителя. Выбор технических средств защиты методом Саати.
Владение информацией во все времена давало преимущества той стороне, которая располагала более точной и обширной информацией, тем более если это касалось информации о соперниках или конкурентах. Поэтому задача специалистов по защите информации заключается в овладении всем спектром приемов и методов защиты информации, способов моделирования и проектирования систем защиты информации. Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.Направления Инженерно-техническая ЗИ Защита ТС Программно-аппаратная ЗИ Защита документов Управление защитой Средства ЗИ Законодательная база Структурное подразделение Организационно тех. В результате проведения анализа ИБ объекта, составлены диаграммы, на которой демонстрируется значение количественной оценки состояния системы защиты по этапам. В результате проведения анализа ИБ объекта, составлены диаграммы, на которой демонстрируется значение количественной оценки состояния системы защиты по направлениям. В результате проведения анализа ИБ объекта, составлены диаграммы, на которой демонстрируется значение количественной оценки состояния системы защиты по основам.Было произведено сравнение нелинейных локаторов методом Саати и выявлен лидирующий анализатор из четырех предложенных - это ЦИКЛОН.В данной курсовой работе были рассмотрены нормативные правовые документы по ИСПДН в соответствии с Федеральными законами, а также проанализирована комплексная защита информации, возможные действия злоумышленника направленные на дестабилизацию целостности, конфиденциальности, доступности информации.
План
2.2.2 План помещений с размещением СВТ и АС
Введение
В настоящее время информация занимает ключевое место. Информация - сведения о лицах, фактах, событиях, явлениях и процессах независимо от формы их представления. Владение информацией во все времена давало преимущества той стороне, которая располагала более точной и обширной информацией, тем более если это касалось информации о соперниках или конкурентах. «Кто владеет информацией, тот владеет миром».
Проблема защиты информации существовала всегда, но в настоящее время изза огромного скачка научно-технического прогресса она прибрела особую актуальность. Поэтому задача специалистов по защите информации заключается в овладении всем спектром приемов и методов защиты информации, способов моделирования и проектирования систем защиты информации. Одними из способов защиты информации являются инженерно-техническая защита информации и программно-аппаратная защита информации.
Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.Многообразие целей, задач, объектов защиты и проводимых мероприятий предполагает рассмотрение некой системы классификаций.
Многообразие классификационных характеристик позволяет рассматривать средства ИТЗ по объектам воздействия, характеру мероприятий, способам реализации, масштабу охвата, классу средств злоумышленников, которым оказывается противодействие со стороны служб безопасности.
Программно-аппаратные средства защиты информации - это сервисы безопасности, встроенные в сетевые операционные системы. К сервисам безопасности относятся: идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование.
Идентификация предназначена для того, чтобы пользователь или вычислительный процесс, действующий по команде определенного пользователя, могли идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в операционную систему, действительно тот, за кого себя выдает.
Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами.
Логическое управление доступом обеспечивает конфиденциальность и целостность объектов путем запрещения обслуживания неавторизированных пользователей. Контроль прав доступа осуществляется посредством различных компонент программной среды - ядром сетевой операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением.
Протоколированием называется процесс сбора и накопления информации о событиях, происходящих в информационной системе предприятия. Возможные события принято делить на три группы: - внешние события, вызванные действиями других сервисов;
- внутренние события, вызванные действиями самого сервиса;
- клиентские события, вызванные действиями пользователей и администраторов. шифрование конфиденциальный информация доступ
1. Общая часть
1.1 Проведение классификации АС, согласно РД ФСТЭК и типа ИА обрабатываемых на предприятии
Используем для проведения классификации и выбора требований к средствам защиты информации АС РД ФСТЭК «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации»
Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.
Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.
Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.
Основными этапами классификации АС являются: - разработка и анализ исходных данных;
- выявление основных признаков АС, необходимых для классификации;
- сравнение выявленных признаков АС с классифицируемыми;
- присвоение АС соответствующего класса защиты информации от НСД.
Необходимыми исходными данными для проведения классификации конкретной АС являются: - перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
- перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
- матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
- режим обработки данных в АС.
Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.
К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся: - наличие в АС информации различного уровня конфиденциальности;
- уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
- режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
1.2 Определение требований по защите от НСД для АС, необходимые к реализации на предприятии
Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.
В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем: управления доступом;
регистрации и учета;
криптографической;
обеспечения целостности.
В зависимости от класса АС в рамках этих подсистем должны быть реализованы ниже перечисленные требования .
Требования к АС второй группы
Обозначения: " - " - нет требований к данному классу;
" " - есть требования к данному классу.
Подсистемы и требования Класс
2Б
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов: · в систему
· к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ -
· к программам -
· к томам, каталогам, файлам, записям, полям записей -
1.2. Управление потоками информации -
2. Подсистема регистрации и учета
2.1. Регистрация и учет: · входа (выхода) субъектов доступа в (из) системы (узел сети)
· выдачи печатных (графических) выходных документов -
· запуска (завершения) программ и процессов (заданий, задач) -
· доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи -
· доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей -
· изменения полномочий субъектов доступа -
· создаваемых защищаемых объектов доступа -
2.2. Учет носителей информации
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей - 2.4. Сигнализация попыток нарушения защиты -
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации -
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах - 3.3. Использование аттестованных (сертифицированных) криптографических средств - 4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации
4.2. Физическая охрана средств вычислительной техники и носителей информации
4.3. Наличие администратора (службы) защиты информации в АС -
4.4. Периодическое тестирование СЗИ НСД
4.5. Наличие средств восстановления СЗИ НСД
4.6. Использование сертифицированных средств защиты -
1.3 Требования к классу защищенности 2Б
Подсистема управления доступом: - должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
Идентификация и проверка подлинности субъектов доступа осуществляется на входе в операционную систему в виде запроса на ввод пароля и логина. Попытка взлома так же может осуществиться через настройки BIOS. Чтобы ограничить доступ к BIOS нужно физически огородить его: установить пломбу либо замок.
Подсистема регистрации и учета: - должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются: дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
результат попытки входа: успешная или неуспешная (при НСД);
- должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).
Должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта.
Должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки.
Должна осуществляться очистка (обнуление, обезличивание), освобождаемых областей ОП ЭВМ и внешних носителей. При двукратной произвольной записи в любую освобождаемую область памяти, использованную для хранения защищаемой информации; должна осуществляться сигнализация попыток нарушение защиты.
Подсистема обеспечения целостности: - должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. При этом: целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;
целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации;
- должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;
- должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД;
- должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
2 Специальная часть
2.1 Описание объекта защиты
Отдел службы связи МВД находится по адресу ул. Октябрьской революции, 69. Данный объект находится на первом этаже. Также в этом здании находиться отделение ГИБДД отдела МВД по уфимскому району.
Краткое описание объекта
Этаж: 1
Площадь (кв. м), высота потолков (м): каб. - 55 м2, h - 3,0 м
- другие материалы: с внутренней стороны стены отделаны под «евростандарт»
Окна: - размер проема: 218*108 см
- количество проемов:6
- тип окна (с двойным утолщенным стеклом): толщина стекла 6 мм
Двери: - размер проема: одностворчатые 206*85 см
- двери: 200*80 см одностворчатые
- тип: легкая одинарная деревянная без уплотнений, Описание смежных помещений: Назначение, характер проводимых работ: в здании находиться отделение ГИБДД отдела МВД по уфимскому району;
Система электропитания (освещение): - сеть: 220 В / 50 Гц;
- тип светильников и их количество: энергосберегающие лампы (12 шт).
Система отопления: Центральное водяное: водяное, два стояка, проходящие транзитом снизу-вверх
Спец техника: В помещении находиться 4 опломбированных сейфа, 8 розеток на стене и одна на потолке, каждая розетка оснащена помехоподавляющим сетевым фильтром, 2 патчкорда, из спецтехники: - 5 компьютеров;
Описание обстановки вокруг объекта: Объект расположен в центре города, окружен с трех сторон постройками различного назначения и ведомственной принадлежности, с 4-той стороны дорогой. Слева от объекта расположен жилой дом, в котором размещен продовольственный магазин. Расстояние между зданиями составляет около 5-10 м. Справа от объекта на расстоянии 30-35 м расположен двухэтажный жилой дом.
Описание обстановки внутри объекта: Вход в здание находится со стороны ул. Октябрьской революции, дверь оборудована магнитным замком. Вход осуществляется через touchmemory или видео домофон. Внутри помещения на дверь, направлен охранно-объемный извещатель. Окна оборудованы магнитно-контактными извещателями, решетками с замками.
2.2 Составление модели проникновения нарушителя (злоумышленника)
2.2.1 Карта территории объекта защиты
Рисунок 1 - Схема территории предприятия
Вывод
Было произведено сравнение нелинейных локаторов методом Саати и выявлен лидирующий анализатор из четырех предложенных - это ЦИКЛОН. Далее расположились анализаторы спектра в порядке убывания следующим образом: Люкс,Обь-1,НП-5В данной курсовой работе были рассмотрены нормативные правовые документы по ИСПДН в соответствии с Федеральными законами, а также проанализирована комплексная защита информации, возможные действия злоумышленника направленные на дестабилизацию целостности, конфиденциальности, доступности информации. Кроме этого, рассматривались основные методы противодействия от дестабилизирующих факторов.
Основными целями защиты информации являются обеспечение конфиденциальности, целостности, полноты, достаточности информационных ресурсов, создания и разработки совокупности методологических, организационных и технических элементов КСЗИ.
Предложен комплексный подход к организации защиты информации(ЗИ) на предприятии
Обеспечение информационной безопасности достигается организационными, организационно-техническими и техническими мероприятиями, каждое из которых обеспечивается специфическими силами, средствами и мерами, обладающими соответствующими характеристиками.
3. Постановление от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
4. Приказ от 18 февраля 2013 года №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных»
Размещено на .ur
Вы можете ЗАГРУЗИТЬ и ПОВЫСИТЬ уникальность своей работы
