Общая функциональная схема объекта информатизации

КУРСОВАЯ РАБОТА

по дисциплине:

«комплексное обеспечение информационной безопасности автоматизированных систем»

Тема работы:

«Проектирование комплексной системы защиты информации объекта информатизации при обработке информации, составляющей государственную тайну класса 1В»

Выполнила:

студентка гр. ЗИ-08-1

Метелькова К.В.

Руководитель

доцент кафедры ИнБ

Бутин А.А.

Принял ______________

________________

“__” ___________ 2012г

Иркутск

Содержание

Содержание........................................................................................................................................ 2

ВВЕДЕНИЕ....................................................................................................................................... 3

1. ИНВЕНТАРИЗАЦИЯ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ.......................................... 5

1.1. Данные об объекте информатизации............................................................................... 5

1.2. Общая функциональная схема объекта информатизации.............................................. 6

1.3. Подробная характеристика функциональных составляющих объекта информатизации 9

1.4. Состав комплекса технических средств, входящих в объект информатизации........ 11

1.5. Физическая и логическая организация сетевой инфраструктуры.............................. 12

1.6. Состав и структура комплекса используемых программных средств........................ 14

1.7. Существующие организационные и технические меры защиты информации......... 15

1.8. Анализ уязвимостей......................................................................................................... 15

1.9. Модель нарушителя.......................................................................................................... 18

2. АНАЛИЗ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ................................. 21

2.1 Модель угроз безопасности ПДн..................................................................................... 21

2.2 Определение актуальных угроз безопасности ПДн...................................................... 23

3. ПРОЕКТИРОВАНИЕ СИСТЕМЫ ЗАЩИТЫ......................................................................... 30

ЗАКЛЮЧЕНИЕ............................................................................................................................... 38

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ............................................................................ 39

Введение

В последнее время защита государственной тайны привлекает к себе особое внимание не только со стороны государства, органы которого стоят на страже ее сохранения, но и общества в целом, в свете многочисленных уголовных дел, связанных с разглашением государственной тайны. Вопросы, связанные с государственной тайной, ее охраной, а также вопросы разглашения государственной тайны были и остаются актуальными во все времена. Объектом тяготения иностранных разведок являются защищаемые государством важнейшие сведения (государственная тайна) о состоянии обороноспособности страны, ее внешнеполитическом, экономическом, разведывательном, контрразведывательном и научно-техническом потенциале. Защита государственной тайны является одним из наиболее важных направлений деятельности государственных органов. Россия, тратит огромные бюджетные средства на обеспечение и защиту безопасности страны и ее граждан. За понятием государственной тайны стоят огромные финансовые средства и активы, труд множества поколений ученых, учебных заведений, научно-исследовательских институтов, экспериментальных баз, инфраструктура и т.д. Огромных бюджетных вложений требует сегодня разработка научного открытия, это деньги, которые государство отрывает у пенсионеров, детских учебных заведений и многих других ради завтрашнего дня, поскольку завтрашнее благополучие неразрывно связано с инвестициями в научно-технический процесс сегодня.

При этом для многих категорий сотрудников работа с секретными сведениями – часть трудовых обязанностей. На работников это налагает определенные ограничения, связанные с их сохранностью и нераспространением. Однако еще большая ответственность ложится на работодателя, который обязан организовать процедуру допуска и контролировать доступ сотрудников к защищаемой законом тайне.

Целью данной работы является изучение нормативной базы, требований и методик защиты сведений, составляющих государственную тайну, и проектирование на их основе системы защиты конкретного объекта.

Анализ объекта защиты.

Объект защиты − ауд. Д523 (5 этаж), которая располагается внутри здания Иркутского государственного университета путей сообщения (далее ИрГУПС), находящегося по адресу ул. Чернышевского, 15. Здание имеет свой хозяйственный двор для служебного автотранспорта. Прилегающая территория обнесена забором. Перед зданием имеется автопарковка. Вход людей в здание осуществляется через контрольно-пропускной пункт, находящемся на 1-ом этаже здания. Ключи от помещений находятся на вахте, ключ можно взять только при наличии допуска (около 5 различных уровней доступа). Габариты контролируемого помещения: длина – 12м., ширина – 8м., высота – 3, 5м.

Назначение объекта:

Проведение лабораторных работ у студентов, обучающихся по дисциплинам, связанным с защитой информации и администрированием, а также работа с информацией ограниченного доступа и обработкой персональных данных.

Пространственная модель защищаемого помещения

2. Окна − два пластиковых стеклопакета 2*2, 5м открывающихся. Доступ имеют техник и заведующий лабораторией;

3. Дверь − дверь деревянная с врезным замком и ручкой. Установлена охранная сигнализация. Доступ имеет только заведующий лабораторией;

4. Вибрационный датчик разбиения стекла;

5. Вентиляционные отверстия, закрытые вентиляционной решёткой;

6. Письменная доска;

7. Столы. 11 письменных, 14 компьютерных;

8. Датчики дыма (2 шт.). Расположены на потолке над рабочей станцией №9 и столами 12 и 13;

9. Датчик движения. Расположен на стене рядом с вентиляционным отверстием 4. Имеет открытый доступ;

10. Цепи электропитания. Напряжение 220 В, 21 электрическая и 18 сетевых розеток, питание к ПК подается через 7 сетевых фильтров. Помещение освещается 6 лампами дневного накаливания;

11. Батареи отопления. Централизованное, 12 секционные чугунные батареи, трубы выходят за приделы помещения на 4 и 6 этаж соответственно;

12. Огнетушитель. Расположен на стене справа от входной двери;

13. Сейф. В сейфе хранятся персональные данные (в виде документов), патчи на компьютеры, диски и другое. Доступ имеет только заведующий лабораторией;

14. Шкаф 1 − вещевой шкаф. Предназначен для хранения книг, личных вещей персонала лаборатории. Доступ имеют техник и заведующий лабораторией;

15. Шкаф 2 − шкаф с документацией. Содержит методические указания, журналы учета работы на рабочих станциях, журналы проведения занятий, самостоятельной работы студентов, паспорта рабочих станций, учебную литературу. Доступ имеют техник и заведующий лабораторией.

16. Персональный компьютеры №№1-12 предназначены для работы студентов, а также обработки конфиденциальной информации. Доступ имеют студенты, заведующий кафедры, техник, а также сотрудники, обрабатывающие конфиденциальную информацию;

17. Персональный компьютер №13 для преподавателей. Доступ имеют все преподаватели и обслуживающий персонал аудитории;

18. Персональный компьютер №14 для техника. Доступ имеют техник и заведующий лабораторией (нерабочий).

Состав комплекса используемых программных средств

На компьютерах локальной сети объекта установлены две ОС Windows XP Professional Service Pack 3 (для разных преподавателей).

В состав программного обеспечения, которое используется на объекте защиты, входит:

1. 7-Zip4.42

2. Acronics True Image Home

3. Adobe Readear 7.0.

4. Borland Delphi 7

5. FAR file manager

6. High Definition Audio Driver Package KB 888111

7. Intel(R) Graphics Media Accelerator Driver LC3

8. Microsoft Baseline Security Analyzer

9. Microsoft Visual C++ 2005 Redistributable

10. Microsoft Visual C++ 2008 x86.9.0.30729.17

11. Open Office.org 3.3

12. Realtek High Defenition Audio Driver

13. Rutoken Drivers

14. Vmware Workstation

15. WinDjView 1.0.3

16. Windows XP Service Pack 3

17. Демо — версия Digital Security Office 2006

Существующие организационные, технические, инженерно-технические меры защиты на объекте

В исходном варианте на объекте защиты присутствуют следующие меры защиты:

1. Организационные:

· документы, регламентирующие работу студентов в аудитории Д-523;

· нормативная документация для администратора и техника;

· правила доступа в помещение;

· физические средства ограничения (дверь с замком, оконные стеклопакеты).

2. Инженерно-технические:

· датчик движения отико-электронный;

· датчики состояния поверхностей: вибрационный датчик разбиения стекла, герконовый датчик состояния двери;

· пожарно-дымовые датчики.

3. Программные средства защиты:

· идентификация, аутентификация пользователей средствами ОС;

· антивирус Dr. Web v5.0.

4. Технические средства защиты – отсутствуют.

Анализ угроз и уязвимостей

Источники угроз – это носитель угрозы. Источником угрозы может быть как живое существо, так и какое-либо явление или процесс, а также техника. Носители угроз могут быть как внешние, так и внутренние, а угрозы совершаемые людьми преднамеренными (умышленными) и случайными.

В общем случае принято выделять три источника угроз: антропогенный, техногенный и стихийный. Все источники угроз имеют разную степень опасности, которую необходимо оценить. Оценка производиться по косвенным показателям, в качестве этих показателей берут:

· возможность возникновения источника угрозы;

· готовность источника угрозы;

· фатальность наступивших последствий после реализации угрозы.

Каждый показатель оценивается экспертным путем по пятибалльной шкале: 1 – минимальная степень влияния каждого показателя на опасность источника, 5 – максимальная степень.

Уязвимость – это присущие объекту ИС причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта ИС, свойствами архитектуры ИС, протоколами обмена и интерфейсами, применяемым программным обеспечением и аппаратной платформы, условиями эксплуатации, невнимательностью сотрудников.

Последствия – это возможные действия реализации угрозы при взаимодействии источника угрозы через имеющиеся уязвимости.

Классификация уязвимостей.

I. Объективные- зависят от особенностей построения и технических характеристик оборудования. Полное устранение этих уязвимостей невозможно, они могут существенно ослабляться техническими и инженерно – техническими методами. К ним можно отнести:

1. Сопутствующие техническим средствам излучения:

· Электромагнитные (побочные излучения элементов технических средств, кабельных линий технических средств, излучения на частотах работы генераторов, на частотах самовозбуждения усилителей);

· Электрические (наводки электромагнитных излучений на линии и проводки, просачивание сигналов в сети электропитания, в цепи заземления, неравномерность потребления тока электропитания);

· Звуковые (акустические, виброакустические).

2. Активизируемые:

· Аппаратные закладки (устанавливаемые в телефонные линии, в сети электропитания, в помещениях, в технических средствах);

· Программные закладки (вредоносные программы, технологические выходы из программ, нелегальные копии ПО).

3. Определяемые особенностями элементов:

· Элементы, обладающие электроакустическими преобразованиями (телефонные аппараты, громкоговорители, микрофоны);

· Элементы подверженные воздействию электромагнитного поля (магнитные носители, микросхемы).

4. Определяемые особенностями защищаемого объекта:

· Местоположением объекта (отсутствие контролируемой зоны, наличие прямой видимости объектов, удаленных и мобильных элементов объекта);

· Организацией каналов обмена информацией (использование радиоканалов, глобальных информационных сетей, арендуемых каналов).

II. Субъективные – зависят от действий сотрудников, в основном устраняются организационными и программно – аппаратными методами:

1. Ошибки:

· При подготовке и использовании программно обеспечения (при разработке алгоритмов и программного обеспечения, инсталляции и загрузке программного обеспечения, эксплуатации программного обеспечения, вводе данных);

· При управлении сложными системами (при использовании возможностей самообучения систем, организация управления потоками обмена информации);

· При эксплуатации технических средств (при включении /выключении технических средств, использовании технических средств охраны, использование средств обмена информацией).

2. Нарушения:

· Режима охраны и защиты (доступа на объект, доступа к техническим средствам);

· Режима эксплуатации технических средств (энергообеспечения, жизнеобеспечения);

· Режима использования информации (обработка и обмен информацией, хранение и уничтожение носителей информации, уничтожения производственных отходов и брака);

· Режима конфиденциальности (сотрудники в не рабочее время, уволенные сотрудники; обиженные сотрудники).

III. Случайные – зависят от особенностей окружающей ИС среды и непредвиденных обстоятельств.

1. Сбои и отказы:

· Отказы и неисправности технических средств (обрабатывающих информацию, обеспечивающих работоспособность средств обработки информации, обеспечивающих охрану и контроль доступа);

· Старение и размагничивание носителей информации (дискет и съемных носителей, жестких дисков, микросхем, кабелей и соединительных линий);

· Сбои программного обеспечения (операционных систем и СУБД, прикладных программ, сервисных программ, антивирусных программ);

· Сбои электроснабжения (оборудования, обрабатывающего информацию; обеспечивающего и вспомогательного оборудования);

2. Повреждения:

· Жизнеобеспечивающих коммуникаций (электро-, водо-, газо, теплоснабжения, канализации; кондиционирования и вентиляции);

· Ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий; корпусов технологического оборудования).

Модель угроз безопасности

Угрозы, которые могут быть реализованы в защищаемом помещении:

1. угрозы несанкционированного доступа (НСД) к информации, обрабатываемом на автоматизированном рабочем месте (АРМ):

· несанкционированное копирование секретных данных пользователем;

· заражение компьютера вирусами с деструктивными функциями;

· копирование секретных данных;

· умышленная модификации информации;

· несанкционированное или некорректное использование ресурсов;

· внедрение аппаратных спец вложений, программных закладок;

· хищение носителей информации;

· отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем;

· хищение производственных отходов;

· незаконное получение паролей и других реквизитов разграничения доступа;

· чтение остаточной информации из оперативной памяти;

2. угрозы утечки информации по техническим каналам:

a) ТКУ речевой информации:

· Подслушивание информации (по воздух);

· Снятие информации с вибрирующих поверхностей, т.е. со стен, батарей, окон, дверей;

· Преобразование акустических сигналов в электрические. Перехват возможен через вспомогательные технические средства связи (ВТСС), путем подключения к их соединительным линиям;

· Облучение лазерным лучом вибрирующих поверхностей через окна.

b) ТКУ видовой информации:

· наблюдение за объектами с помощью видеокамер, фотоаппаратов, биноклей как пределах контролируемой зоны, так и за ее пределами через окна;

· съемка объектов с помощью видеокамер, фотоаппаратов внутри помещения и снаружи через окна;

· съемка документов с помощью видеокамер, фотоаппаратов внутри помещения.

c) ТКУ информации при передаче ее по каналам связи:

· Снятие информации с линий сотовой связи.

d) ТКУ информации, обрабатываемой техническими средствами передачи информации (ТСПИ):

· Снятие электромагнитных излучений с элементов ТСПИ (монитор, клавиатура, магнитные носители информации);

· Снятие информации с помощью различных генераторов (генератор тактовой частоты, гетеродины радиоприемных устройств);

· С помощью наводок электромагнитных излучений элементов ТСПИ на посторонние проводники и средства ВТСС (громкоговоритель радиотрансляционной сети, датчик пожарной сигнализации, металлические трубы и другие токопроводящие коммуникации, выходящие за пределы контролируемой зоны).

Анализ рисков и их оценка

Информационным риском называется потенциальная возможность несения убытков из-за нарушения безопасности автоматизированной системы.

Оценка рисков проводится по двум факторам:

1. Оценка ущерба;

2. Оценка вероятности реализации угрозы.

Ущерб оценивается по шкале от 1 до 5.

1 – очень незначительный ущерб;

2 – незначительный ущерб, последствия легко устранимы, затраты на ликвидацию не велики;

3 – умеренный ущерб, ликвидация не требует серьезных затрат;

4 – серьезный ущерб, требуются значительные затраты на ликвидацию последствий;

5 – значительный ущерб, реализация угрозы приводит к критическим последствиям.

Вероятность реализации угроз оценивается:

1 – угроза практически не реализуема;

2 – угроза слабо реализуема;

3 – угроза умеренно реализуема;

4 – вероятность реализации угрозы близка к 0, 75;

5 – угроза реализуема.

Показатель риска вычисляется как произведение ущерба и вероятности реализации угрозы.

Максимально возможный уровень риска 8, все риски, показатель которых больше либо равен 8, следует парировать.

Табл.2. Оценка рисков

№ п/п	Описание угрозы	Ущерб	Вероятность	Риск	Ранжирование
	Копирование, модификация сведений, составляющих государственную тайну
	Уничтожение, хищение сведений
	НСД к информации
	Внедрение программных закладок
	Настройка/отключение средств ЗИ
	Неправомерное изменение режимов работы устройств, программ
	Отключение и вывод из строя систем
	Неумышленная порча носителей информации
	Непреднамеренный ввод ошибочных данных
	Неумышленные действия, приводящие к разрушению программных и аппаратных средств
	Шпионаж среди сотрудников и студентов

№ п/п	Описание угрозы	Ущерб	Вероятность	Риск	Ранжирование
	Проявление ошибок аппаратных средств
	Проявление алгоритмических ошибок
	Утечка по ТКУИ
	Сбои и отказы ТС

Как видно из таблицы в первую очередь следует защищаться от следующих угроз:

1. Утечка по ТКУИ;

2. Уничтожение и хищение сведений;

3. НСД к информации;

4. Копирование и модификация сведений, составляющих государственную тайну;

5. Неумышленные действия, приводящие к разрушению программных и аппаратных средств;

6. Внедрение программных закладок;

7. Настройка/отключение средств ЗИ;

8. Отключение и вывод из строя систем;

9. Непреднамеренный ввод ошибочных данных.

Некоторые угрозы имеющие коэффициент риска меньше 8 также должны заслуживать внимания, так как реализация, например двух таких угроз, может дать в сумме коэффициент риска больше 8.

Организационные меры

1. Завести журнал учета защищаемых носителей информации;

2. На входе в помещение установить СКУД;

3. Регулярно проводить обучение, способствующее повышению квалификации персонала.

Экономический расчет

№ п/п	Наименование	Цена (руб)	Колличество (шт)	Стоимость (руб)
	D-Link DSR-250N
	Страж NT (версия 3.0)
	ШОРОХ-4
	СКУД «Электронный кабинет»
5.	Общая стоимость

Заключение

В рамках данной курсовой работы было проведено моделирование объекта защиты и угроз безопасности информации. Построена структурная модель объекта защиты, классифицированы и выявлены наиболее опасные и реальные пути организации несанкционированной утечки информации по техническим каналам.

Несмотря на это остается еще много спорных и непонятных вопросов, которые требуют незамедлительного решения. Это большая работа, которая требует усилий не только государства и специализированных органов, но и самих организаций и специалистов по защите информации, которые непосредственно сталкиваются с этой темой.

В целом, работа над курсовой работой позволила систематизировать и структурировать ранее полученные знания в области защиты информации и полностью убедила и доказала необходимость комплексного подхода при реализации систем безопасности и систем защиты информации в частности.

Список используемой литературы

1) Закон РФ от 21.07.1993 N 5485-1 (ред. от 08.11.2011) «О государственной тайне»;

2) Постановление Правительства РФ от 15 апреля 1995 г. № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»;

3) Постановление Правительства РФ от 5 мая 2012 г. N 445 " О внесении изменений в Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны";

4) РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» от 30 марта 1992 г;

5) Хорев А.А Способы и средства защиты информации. М.: МО РФ, 2000 – 316 с.;

6) http: //www.securitycode.ru/ - сайт компании « Код безопасности ».