Рассмотрение имеющейся системы защиты информации на предприятии. Моделирование возможных угроз служебной тайне, персональным данным. Выработка организационных, инженерно-технических, программно-аппаратных мер защиты. Аттестация объекта информатизации.
Аннотация к работе
С целью всесторонней защиты информационных ресурсов и создаются комплексные системы по защите данных. Сегодня информация играет все большую роль в жизни любой компании или государственной организации, чем пару десятков лет назад. Кто владеет информацией, тот владеет миром, а кто владеет чужой информацией, тот гораздо лучше подготовлен к конкурентной борьбе, чем его соперники. Информационную безопасность учреждения определяет совокупность технических средств размещенных на территории, а также наличие мест доступа или утечки информации, создающих потенциальную возможность реализации угроз и наличие эффективных средств защиты. Определение мероприятий по обеспечению требуемого уровня защищенности предполагает определение структуры, состава и размещения средств защиты информации, при которых обеспечивается требуемый уровень защищенности предприятия от реального спектра угроз безопасности.Объектом защиты является отдел автоматизированной системы управления производством в ОАО "144-БТРЗ". Помещения отдела автоматизированной системы управления производством в ОАО "144-БТРЗ" расположены на 2 этаже 2-этажного нежилого здания, на улице Симская, с восточной стороны расположена железная дорога, с западной стороны автомастерская и 5-этажное офисное здание, с северной стороны расположено 4-этажное офисное здание, с южной два склада транспортных компаний и Уральский колледж управления, бизнеса и технологии красоты. Вход на территорию, где расположен защищаемый объект, осуществляется через КПП с осуществлением пропускного режима. Вход в помещения, где расположен защищаемый объект, а также на 2 этаж, где расположен отдел, осуществляется свободно. Все несущие стены защищаемого объекта - отштукатуренные с двух сторон бетонные стены толщиной 1,5 метра, стены между помещениями объекта - бетонные толщиной 0,72 метра.В отделе автоматизированной системы управления производством в ОАО "144-БТРЗ" необходимо защищать информацию с пометкой для служебного пользования (ДСП) и персональные данные. Документы на бумажных носителях Документы на бумажных носителях Документы на бумажных носителях Документы на бумажных носителяхСоседние здания с восточной стороны расположена железная дорога, с западной стороны автомастерская и 5-этажное офисное здание, с северной стороны расположено 4-этажное офисное здание, с южной два склада транспортных компаний и Уральский колледж управления, бизнеса и технологии красоты Электропитание объекта осуществляется от электрощитовой на 1 этаже, в каждом помещении расположены 2 электрические розетки 220В. На каждом рабочем месте установлен телефонный аппарат, имеющий выход в ГТС, в помещениях имеются телефонные розетки, тип телефонного кабеля - Тк12х0.5. Все несущие стены защищаемого объекта - отштукатуренные с двух сторон железобетонные стены толщиной 1,5 метра, стены между помещениями объекта - железобетонные толщиной 0.72 метра. Кабель локальной сети ЭВМ наружный, по стене уходят под подвесной потолок, имеет выход за пределы КЗПри моделировании несанкционированного доступа злоумышленника к защищаемой информации прогнозируются маршруты движения злоумышленника из нулевого состояния вне территории организации к источникам информации, оцениваются параметры (вероятность и время реализации) отдельных участков маршрута (дуг семантической сети). Семантическая сеть представляет собой граф, узел которого соответствует одному из рубежей и одной из контролируемых зон организации, а ребро - вероятности и времени перехода источника угрозы из одного рубежа (зоны) в другой (другую). Для наглядности целесообразно узел - рубеж представить в виде кружка, а узел - зону в виде прямоугольника. Рубеж может быть открыт (состояние 0), закрыт без включения сигнализации (состояние 1), закрыт с включенной сигнализацией (состояние 2). Зона как часть пространства с контролируемым уровнем безопасности может быть свободной для прохода и проезда (состояние 0) и закрытой (с включенными средствами охраны) - состояние 1.Источник акустического сигнала - случайный акустоэлектрический преобразователь в техническом средстве - побочное излучение технического средства - радиоприемник Источник акустического сигнала - случайный акустоэлектрический преобразователь в техническом средстве-проводные кабели, выходящие за пределы контролируемой зоны В качестве критерия защищенности речевой информации используется отношение сигнал/шум, при котором качество подслушиваемой речевой информации ниже допустимого уровня. В соответствии с существующими нормами понимание речи невозможно, если отношение помеха/сигнал равно 6-8, а акустический сигнал не воспринимается человеком как речевой, если отношение помеха/сигнал превышает 8-10.Радиоэлектронные каналы утечки информации из офиса представляют собой простые каналы и части составных акусто-радиоэлектронных каналов утечки информации. Простые каналы образованы побочными электромагнитными излучениями и наводками радиосредств и электрических приборов, размещенных в офисе, в том числе компьютеры
План
Оглавление
Перечень документов проекта
Обозначения и сокращения
Введение
1. Описание объекта
1.1 Категории информации, обрабатываемой в системе
1.2 Пространственная модель контролируемых зон
1.3 Моделирование угроз информации
1.3.1 Акустические каналы утечки информации
1.3.2 Радиоэлектронные каналы утечки информации
1.4 Принятые меры по защите служебной тайны
1.5 Требования нормативно-методических документов по защите информации на объекте
5.2 Оценка стоимости мероприятий по защите информации
5.3 Выбор оптимального варианта
Заключение
Список литературы
Введение
Согласно ГОСТ Р 50922-2006, защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Информационная безопасность актуальна как для предприятий, так и для госучреждений. С целью всесторонней защиты информационных ресурсов и создаются комплексные системы по защите данных.
Сегодня информация играет все большую роль в жизни любой компании или государственной организации, чем пару десятков лет назад. Кто владеет информацией, тот владеет миром, а кто владеет чужой информацией, тот гораздо лучше подготовлен к конкурентной борьбе, чем его соперники.
Внедрение новых информационных технологий ставит современные компании в зависимость от информационной системы, а переход на электронные носители информации приводит к необходимости уделять пристальное внимание вопросу информационной безопасности. Любое вмешательство в работу информационной системы: кража, уничтожение или несанкционированный доступ к данным может привести к значительным убыткам компании, а иногда и к ее полной ликвидации, особенно если эти данные касаются ее коммерческих тайн или ноу-хау.
Информационную безопасность учреждения определяет совокупность технических средств размещенных на территории, а также наличие мест доступа или утечки информации, создающих потенциальную возможность реализации угроз и наличие эффективных средств защиты.
В связи с тем, что различные охраняемые объекты расположены в различных помещениях, возможные каналы утечки информации к ним также различны. Они определяются, в первую очередь, путями доступа в рассматриваемое помещение, основными из которых являются дверные и оконные проемы.
Определение мероприятий по обеспечению требуемого уровня защищенности предполагает определение структуры, состава и размещения средств защиты информации, при которых обеспечивается требуемый уровень защищенности предприятия от реального спектра угроз безопасности.
Современная защита информации - это поиск оптимального соотношения между доступностью и безопасностью. Или, другими словами, это постоянная борьба с наивностью пользователей и интеллектом злоумышленников.
Целью дипломного проектирования является создание комплексной системы защиты информации (служебной тайны, персональных данных), отвечающей всем современным требованиям.
Задачи: · проанализировать имеющуюся систему защиты;
· смоделировать объект защиты;
· смоделировать возможные угрозы информации;
· сформировать требования к защите информации;
· выработать организационные, инженерно-технические, программно-аппаратные меры защиты;
· провести подготовку объекта защиты к аттестационным испытаниям и провести их.