Оценка эффективности принятых мер по технической защите информации

Министерство образования и науки Российской Федерации
Федеральное государственное бюджетное образовательное учреждение
высшего образования

«Пермский национальный исследовательский
политехнический университет»
Электротехнический факультет
Кафедра автоматики и телемеханики
Специальность:
10.03.01 Информационная безопасность 
Уровень высшего образования:
Бакалавриат

Специализация
образовательной программы:
Комплексная зашита объектов информатизации


ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
(дипломный проект)

Тема:Оценка эффективности принятых мер по технической защите информации дляАС ЗАО «Бионт».

Студентгруппы КЗИ-14-1б		               Симонов Анатолий Леонидович
(шифр учебной группы)	(подпись)			(Ф.И.О.)

Состав ВКР:
 Пояснительная записка на 		 страницах.
 Графическая часть на 			 листах.


Допускается к защите
Протокол заседания кафедры АТ
№ 	 от 				 20	 г.

Заведующий кафедрой АТ
д-р техн. наук, профессор 		 /А.А.Южаков/
«	» 			 20	 г.

Регистрационный номер 		
Руководитель ВКР
				
 (подпись)              (Ф.И.О.)



Консультант:
				
(подпись)              (Ф.И.О.)





Пермь 
2018


Фонд оценочных средств
защиты выпускной квалификационной работы
Направление подготовки: 10.03.01 «Информационная безопасность»
Направленность образовательной программы «Комплексная защита объектов информатизации»
       
УТВЕРЖДАЮ:
Заведующий кафедрой АТ
д-р техн. наук, профессор
______________ А.А. Южаков
«___» _______________ 2016 г.


Индивидуальное задание
на выполнение выпускной квалификационной работы
студента группыКЗИ-14-1б
(шифр учебной группы)
Симонова Анатолия Леонидовича
(Ф.И.О.)

 Тема индивидуального задания: «Оценка эффективности принятых мер по технической защите информации для АСЗАО «БИОНТ»».
 Цель выполнения ВКР состоит в демонстрации выпускником достигнутого уровня подготовленности к профессиональной деятельности.
 Задачи ВКР:
 выполнение этапов работы, определенных индивидуальным заданием, календарным планом, формой представления отчетных материалов, обеспечивающих достижение заданных в компетентностном формате результатов;
 оформление отчетных материалов, раскрывающих уровни освоения заданного перечня компетенций;
 подготовка и проведение защиты полученных результатов.
4.  Срок представления завершенной и оформленной ВКР «02» июля 2018 г.
5.  Содержание ВКР включает:
 анализ и обобщение научно-технических материалов по теме работы, анализ объекта информатизации, особенностей факторов, существенных для защиты информации;
 разработка перечня сведений, отнесенных к информации ограниченного доступа, определение объектов защиты;
 исследование каналов утечки информации и несанкционированного доступа, разработка модели нарушителя и оценка угроз безопасности информации;
 определение и исследование требований по безопасности информации для объекта защиты;
 разработка структуры системы защиты информации распределенной информационной системы;
 разработка и исследование подсистем защиты информации, моделирование процессов защиты информации на объекте информатизации;
 разработка технической и программной реализации системы защиты информации, ее подсистем и отдельных средств защиты информации;
 оценка эффективности предлагаемых решений по обеспечению информационной безопасности, применяемых способов и средств защиты информации;
 формирование выводов.
 Задание в компетентностном формате результатов выполнения ВКР
	Заданные результаты освоения ОП представлены агрегированными компетенциями: АОК-1, АОК-2, АПК-1 АПК-2 (Табл.6.1)*.
Формулировки агрегированных компетенций													Таблица 6.1
Индекс агрегированной 
компетенции
Формулировки агрегированных компетенций
АОК-1
Способность самостоятельно развивать свой интеллектуальный, общекультурный и профессиональный уровень, анализировать значимые мировоззренческие проблемы развития науки и техники
АОК-1
Способность содействовать повышению эффективности деятельности коллектива при проведении исследований и разработки проектов
АПК-1
Способность применять и совершенствовать  методы и средства анализа, исследований, моделирования, оценивания и представления результатов при разработке и модернизации систем защиты информации распределенных информационных систем 
АПК-2
Способность применять методы проектирования  при разработке и модернизации систем защиты информации распределенных информационных систем 

*Набор агрегированных компетенций соответствует научно-исследовательской / проектно-конструкторской направленности темы ВКР.

   Заданные результаты выполняемой ВКР устанавливаются в компетентностном формате компонентной структурой, включающей компоненты контролируемых компетенций (табл.6.2).   

Компоненты контролируемых компетенций                           Таблица 6.2
Код 
компонента
Формулировка
компонента
Формулировка 
объекта контроля
Средство
контроля
Форма представления результата контроля
Объект
оценивания
АОК-1-01з
Знать тенденции развития перспективных направлений науки и техники
Состояние и перспективы  развития способов и средств защиты информации
Индивидуальное 
задание на ВКР
Описание способов и средств защиты информации 
Индикаторы:
Раздел ВКР. Ответы на защите
АОК-1- 01у
Уметь применять современные методы и средствапоиска научно-технической информации, использовать иностранный язык как средство делового и профессионального общения.
Применять методы поиска и сбора информации с использованием информационных технологий
Индивидуальное 
задание на ВКР
Механизмы применения методов поиска и сбора информации.


Индикаторы:
Раздел ВКР. Ответы на защите. 
Отзыв руководителя ВКР
АОК-1-01в
Владеть навыками актуализации знаний, их совершенствования и применения в профессиональной и общекультурной  сфере.
Совершенствование профессиональных знаний в сфере информационной безопасности 
Индивидуальное 
задание на ВКР
ВКР в целом
Индикаторы:
ВКР в целом. 
Отзыв руководителя ВКР.
Портфолио
АОК-2-01з
Знать организацию, правовые и этические нормы трудовой деятельности коллектива
Организационно-правовые нормы деятельности коллектива разработчиков систем защиты информации
Индивидуальное 
задание на ВКР
Описание норм (раздел ВКР)
Индикаторы:
Раздел ВКР. Ответы на защите.
Отзыв руководителя ВКР
АОК-2-01у
Уметь проявлять инициативу, отстаивать свое мнение, вести дискуссию в коллективе, использовать методы и средствакоммуникаций
Методы ведения дискуссии и научного аргументирования решений в области защиты информации
Индивидуальное 
задание на ВКР
Описание норм (раздел ВКР)
Индикаторы:
Ответы на защите.
 Отзыв руководителя ВКР.
Портфолио.
АОК-2-01в
Владеть навыками практического выполнения проекта в составе коллектива
Навыки совместной профессиональной деятельности в коллективе
Индивидуальное 
задание на ВКР
Отзыв руководителя ВКР
Портфолио
Индикаторы:
Ответы на защите.
Отзыв руководителя ВКР.
АПК-1-01з
Знать основные средства и способы обеспечения информационной безопасности, принципы построения систем защиты информации
Способы и средства защиты информации от утечки по техническим каналам, принципы построения систем защиты информации
Индивидуальное 
задание на ВКР
Описание способов и средств защиты информации, характеристика методов построения систем защиты информации
Индикаторы:
Раздел ВКР. Ответы на защите
АПК-1-01у
Уметь использовать технологии автоматизированного проектирования и системный подход при проектировании систем защиты, определять ресурсы, необходимые для обеспечения информационной безопасности объектов информатизации
Методы и технологии автоматизированного проектирования систем и подсистем информационной безопасности 
Системный подход при проектирование системы защиты информации
Индивидуальное 
задание на ВКР
Использование методов и технологии автоматизированного проектирования систем и подсистем информационной безопасности, использование системного подхода при разработке системы защиты информации
Индикаторы:
Раздел ВКР. Ответы на защите.
Отзыв руководителя ВКР.

АПК-1-01в
Владеть навыками проектирования информационных систем на базе корпоративных систем управления базами данных, методами снижения угроз безопасности информационных систем, вызванных ошибками на этапе проектирования, разработки и внедрения
Навыки проектирования информационных систем, методы снижения угроз безопасности информационных систем, вызванных ошибками на этапе проектирования, разработки и внедрения
Индивидуальное 
задание на ВКР
Отзыв руководителя ВКР
Портфолио
Индикаторы:
Раздел ВКР. Отзыв руководителя ВКР
АПК-2-01з
Знать способы и средства защиты информации от утечки по техническим каналам и контроля эффективности защиты информации
Способы и средства защиты информации от утечки по техническим каналам. Способы и средства контроля эффективности защиты информации
Индивидуальное 
задание на ВКР
Описание свойств, характеристик средств, способов защиты информации
Индикаторы:
Раздел ВКР. Ответы на защите
АПК-2-01у
Уметь разрабатывать и исследовать аналитические и компьютерные модели систем, подсистем и компонентов систем защиты информации
Методика разработки и исследования аналитических и компьютерных моделей систем защиты информации
Индивидуальное задание на ВКР
Описание модели безопасности
Индикаторы:
Раздел ВКР. Ответы на защите.
Отзыв руководителя ВКР

АПК-2-01в
Владеть методами и технологиями проектирования, моделирования, исследования систем и подсистем безопасности объектов информатизации
Методы и технологии проектирования, моделирования, исследования систем и подсистем безопасности объектов информатизации
Индивидуальное задание на ВКР
Описание модели
Индикаторы:
Раздел ВКР. Отзыв руководителя ВКР

         7   Основные требования к выполнению индивидуального задания

      7.1   Исходными данными для выполнения задания являются:
 сведения об объекте информатизации, факторы, существенные для реализации системы защиты информации на данном объекте;
 требования по безопасности информации для объекта информатизации; 
 содержание методик по определению и оценке угроз безопасности информации;
 перечень способов и средств защиты информации, порядок и правила внедрения и эксплуатации техники защиты информации;
 порядок создания автоматизированных систем в защищенном исполнении;
 система защиты информации должна выполнять основные требования по обеспечению безопасности объекта информатизации от актуальных угроз безопасности информации.

7.2. Требования к структуре и оформлению выпускной квалификационной работы
   ВКР должна включать пояснительную записку и графические материалы, раскрывающие решения профессиональных задач избранной тематики – графическую часть.

Пояснительная записка должна содержать:
 титульный лист;
 задание на выполнение ВКР;
 аннотация ВКР;
 содержание;
 введение;
 основная часть;
 заключение;
 список используемой литературы;
 приложения.
	
     Основная часть должна включать 3 раздела с разбивкой на пункты и подпункты.
     Первый раздел должен содержать аналитический обзор состояния рассматриваемой темы. Обосновывается цель выполнения работы, формулируются вытекающие из цели задачи, решаемые в последующих разделах и их актуальность. Обосновывается практическая целесообразность выполнения работы на избранную тему. Должен быть сформулирован объект исследований (проектирования) и указаны методы, обеспечивающие решение задач. Обзор литературных источников должен демонстрировать умения выпускника рассматривать, оценивать, систематизировать информацию. Количество источников информации должно составлять не менее 20 наименований.
     Второй раздел должен быть посвящен изложению теоретических аспектов решаемых задач (определению объекта защиты, разработке модели нарушителя и частной модели угроз безопасности информации, требований по безопасности информации, разработке способов решения задач защиты информации, разработке структуры (топологии) информационной системы и т.д.).  Раздел должен содержать примеры моделирования, экспериментального исследования, в том числе исследований на математических моделях, расчеты характеристик подсистем и средств защиты информации, синтез алгоритмов, разработку технического или программного обеспечения.
     Третий разделдолжен содержать техническую реализацию (описание принципиальных схем, элементов конструкций физической защиты объекта, средств защиты информации и пр.), разработанную политику (частные политики) информационной безопасности Должны быть сформулированы обобщения и оценки результатов с позиции их практической значимости и эффективности защиты информации.
   Заключение должно содержать обобщенные выводы, научно-технические результаты, предложения по их применению, рекомендации по развитию работ в рассматриваемой области науки и техники.
   Приложения должны включать вспомогательный материал, необходимый для полноты работы: таблицы исходных и вспомогательных данных; промежуточные расчеты, описания методик, приборов, инструментария; описание алгоритмов и программ, разработанных в процессе выполнения работы, разработанные документы для обеспечения защиты информации и пр. 
Графическая часть должна включать следующие материалы:
 плакат, содержащий формулировки целей и задач работы, описание объекта информатизации, модель нарушителя и т.п.;
 структурные, функциональные и др. схемы;
 топологию распределенной информационной системы с отображенными решениями в области защиты информации;
 алгоритмы решения общей и частных задач;
 структуру программного обеспечения устройств, систем;
 математические модели, теоретические и/или экспериментальные результаты (в виде графиков, таблиц и пр.);
 разработанные технические решения устройств, средств и пр.
   Объем графической части должен содержать 4 листа формата А1.
   Текст пояснительной записки должен быть отпечатан на формате А4 и подшит в папку. Объем основной части пояснительной записки должен составлять около 40 страниц машинописного текста (шрифт 14 пт, TimesNewRoman, через 1,5 интервала).

7.3. Требования к предметам оценивания (индикаторам уровня освоения компонентов контролируемых агрегированных компетенций)

   В качестве индикаторов объектов контроля для оценивания уровней освоения контролируемых компонентов агрегируемых компетенций должны быть приняты описания объектов компонентов компетенций или действия над этими объектами.
   В текст основной части пояснительной записки исполнителем должны быть включены индикаторы уровня освоения контролируемых компонентов компетенций.
   Индикатор представляет собой описание объекта контролируемой компетенции или действий над объектами контролируемых компетенций.
   Индикаторы контролируемых компетенций используются для оценивания уровня освоения контролируемых компетенций. Качество представления индикаторов в тексте пояснительной записки и в ответах на вопросы определяет оценку защиты ВКР.
   Индикаторы объекта компетенций должны представлять его полное и безошибочное описание (метода, модели, алгоритма и пр.), включающее: название объекта, его статические характеристики, сферы применения, особенности, сравнение с аналогичными объектами и пр. Эти индикаторы раскрывают уровень знаний об объекте.
   Индикаторы действия над объектом должны содержать полное и безошибочное описание механизма действий объекта (над объектом), включающее: обоснование применения объекта (метода, модели и пр.); динамические, точностные, надежностные и т.д. характеристики; возможности адаптации к условиям задачи; потребности в обеспечивающих ресурсах и пр.
   Индикаторы объекта компетенций должны обозначаются в тексте пояснительной записки, например, [АПК-1-01у] и перечисляются в конце работы после списка использованной литературы.

8. Календарный план выполнения ВКР

Наименование
этапа
Наименование работ
Сроки*
начало
окончание

Результат
1
Аналитический обзор. Выбор и пути решения проектной задачи
Анализ научно-технических материалов сведений об объекте информатизации, факторов, существенных для реализации системы защиты информации в информационной системе
16.05.2016
22.05.2016
Раздел 1 пояснительной записки. 
Необходимый объем графической части.
2

Разработка теоретических аспектов задания и выполнение проектирования технического  обеспечения системы
Определение объекта защиты, разработка требований по безопасности информации и для объекта информатизации, исследование каналов утечки информации и несанкционированного доступа, разработка модели нарушителя и оценка угроз безопасности информации. Разработка концепции защиты информации в информационной системе.
Разработка структурных, функциональных и аналитических моделей способов и средств защиты информации
23.05.2016

12.06.2016

Раздел 2 пояснительной записки. 
Необходимый объем графической части

3
Практическая реализация системы в заданном техническом базисе. Оценка системных характеристик. Оформление пояснительной записки и графической части
Моделирование системы защиты информации и исследование процессов способов и средств защиты информации.
 Оценка эффективности способов и средств защиты информации. Формулировка выводов
13.06.2016
19.06.2016
Раздел 3 пояснительной записки. 
Пояснительная записка.
Необходимый объем графической части
*Указаны сроки выполнения соответствующих разделов ВКР.

9. Порядок выполнения ВКР

Рубежный контроль хода выполнения ВКР осуществляется согласно графику выполнения.
Рекомендуемая базовая литература

 Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; 
 Федеральный закон N 152-ФЗ «О персональных данных»; 
 Постановление Правительства РФ от 01.11.2012 № 1119; 
 Приказ ФСТЭК России от 11 февраля 2013 года №17;
 Приказ ФСБ России № 378.

Руководитель ВКР
______________________                     _______________     __________________
(должность, ученая степень)(подпись и дата)		(Ф.И.О.)

Задание принял (а) к исполнению

«____» ______________2018             _______________      __________________ 
                                                                        (подпись)			(Ф.И.О.)        

Итоговая оценка оригинальности: _________%



АННОТАЦИЯ
Работа содержит: 63 страницы, 3 иллюстрации, 37 таблиц, 3 приложения, 20 использованных литературных источников.
Ключевые слова: автоматизированная система, информация конфиденциального характера, персональные данные, угроза безопасности, технические каналы утечки, оценка защищенности, побочное электромагнитное излучение, средство защиты информации.
     Цель дипломного проекта заключается в проведении оценки эффективности принятых мер по технической защите информации для АС ЗАО «Бионт».
Для достижения поставленной цели в дипломном проекте использовались следующие методы:
     1. Общелогический метод - это аналитика, синтез, сравнение и обработка данных применяемых источников.
     2. Инструментально-расчетный метод.
     В первом разделе дипломного проекта проведен анализ объекта информатизации, включающий описание объекта информатизации, а также характер обрабатываемой информации в автоматизированной системе. 
     Второй раздел включает анализ нормативных правовых документов в сфере информационной безопасности, разработку модели нарушителя, оценку возможных угроз, определение исходного уровня защищенности, проверка защищенности системы с помощью технических средств измерения, а также оценка соответствии полученных результатов с требованиями нормативных документов.
В третьем разделе были вынесены предложения по повышению уровня защищенности информации АС ЗАО «Бионт». Было выбрано оптимальное средство защиты конфиденциальной информации. После чего была произведена оценка эффективности защиты автоматизированной системы с установленными средствами защиты.
В итоге был сделан вывод, что предложенная система защиты способна обеспечить защиту конфиденциальной информации.

Список используемых сокращений
АС - автоматизированная система
АТС - автоматическая телефонная станция
ГШ – генератор шума
ЗАО - закрытое акционерное общество
ИБ - информационная безопасность
ИС - информационная система
ИСПДн - информационная система персональных данных
КЗ - контролируемая зона
ЛВС - локальная вычислительная сеть
НСД – несанкционированный доступ
ПДн - персональные данные
ПЭМИН - побочные электромагнитные излучения и наводки
СЗИ - средство защиты информации
ТКУИ – технический канал утечки информации
ТП – трансформаторная подстанция
ТСПИ – техническое средство передачи информации
УЦ – удостоверяющий центр
ФЗ - федеральный закон
ФСБ - Федеральная служба безопасности
ФСТЭК - Федеральная служба по техническому и экспортному контролю



Содержание
Введение	17
1 Анализ объекта информатизации	18
1.1 Описание объекта информатизации	18
1.2 Перечень сведений конфиденциального характера, обрабатываемых в автоматизированной системе	20
1.3 Выводы по разделу	21
2 Анализ угроз безопасности информации	22
2.1 Анализ нормативных правовых документов в сфере информационной безопасности	22
2.2. Требования к объекту информатизации	22
2.3. Модель нарушителя в АС «БИОНТ»	26
2.3.1 Типы и виды нарушителей	26
2.3.2 Возможные средства реализации угроз	29
2.4 Перечень возможных угроз безопасности	29
2.5 Характерные угрозы безопасности	31
2.6. Определение исходного уровня защищенности	34
2.6.1 Оценка вероятности реализации угрозы утечки информации по каналу ПЭМИН	36
2.6.2 Проверка защищенности объекта информатизации	37
2.6.2.1. Методы проведения испытаний	37
2.6.2.1 Метод проведения испытаний по оценке защищенности информации от утечки ПЭМИ	37
2.6.2.1.2 Метод проведения испытаний по оценке защищенности линий ВТСС от наводок ПЭМИ	39
2.6.2.2Перечень средств для проведения испытаний	40
2.6.2.5 Проведение испытаний	42
2.6.2.5.1 Проведение испытаний по оценке защищённости от утечки ПЭМИ	42
2.6.2.5.2 Проведение испытаний по оценке защищённости линий ВТСС от наводок ПЭМИ	43
2.6.2.6 Расчет показателей защищенности	49
2.6.2.6.1 Порядок расчета радиуса контролируемой зоны	49
2.6.2.6.2 Расчет показателей защищенности от наводок ПЭМИ	50
2.6.2.7 Результаты проведенных испытаний	51
2.6.2.7.1 Результаты проведенных испытаний ПЭМИН	51
2.6.2.7.2 Результаты проведенных испытаний наводок ПЭМИ	52
2.6.2.8 Анализ защищенности объекта информатизации	55
2.7 Выводы по разделу	56
3	Разработка системы защиты информации	58
3.1	Предложения по повышению уровня защищенности информации АС ЗАО «Бионт»	58
3.2	Рассмотрение технических средств защиты	58
3.3 Оценка эффективности защиты АС с установленными СЗИ	58
3.3. Выводы по разделу	59
Заключение	60
Список использованных источников	61
Перечень индикаторов компетенций	64
Приложение А	65
Приложение Б	66
Приложение В	67

Введение


1 Анализ объекта информатизации
     Объектом исследования дипломного проекта является компания ЗАО «БИОНТ», расположенная по адресу г. Пермь, ул. Краснова, д. 24, к 1. 
     ЗАО «Бионт» – одна из первых Компаний в регионе, предоставляющих услуги по обеспечению информационной безопасности. Деятельность ЗАО «Бионт» по защите информации лицензирована ФСБ России и ФСТЭК России.
     Направления деятельности:
- Защита конфиденциальной информации;
- Защита государственной тайны;
- Защита каналов связи;
- Аттестация объектов информатизации;
- Выдача электронных подписей;
- Курсы повышения квалификации в учебном центре. [4]
1.1 Описание объекта информатизации
Предметом исследования дипломного проекта выбрана автоматизированная система «БИОНТ».
Объект информатизации, для которого создавалась система защиты информации конфиденциального характера, представляет собой автоматизированную систему «БИОНТ». АС «БИОНТ» находится на первом этаже двухэтажного здания в кабинете №4 по адресу г. Пермь, ул. Краснова, д. 24, к 1. Кабинет имеет площадь 24 м2. Второй этаж здания не принадлежит компании и имеет отдельный вход.
Ограждающие конструкции помещения, в котором находится АС «БИОНТ», представляют собой кирпичные стены, толщиной 120 мм. Пол и потолок представляют собой бетонные перекрытия, толщиной 220 мм.
Граница контролируемой зоны объекта информатизации определена внешними стенами помещений, занимаемых компанией ЗАО «БИОНТ».
В состав ОТСС АС «БИОНТ» входят:
- системный блок;
-монитор;
- клавиатура;
- компьютерная мышь.
Так же в кабинете находятся четыре АРМ, телефонная линия, не взаимодействующая с АС «БИОНТ», кондиционер.
В кабинете установлена охранно-пожарная сигнализация, в состав которой входят магнитно-контактные датчики, пожарный извещатель и объемный извещатель. Сигнализация имеет выход на пульт охраны на первом этаже здания в пределах контролируемой зоны.
Автоматизированная система «БИОНТ» подключена к локальной вычислительной сети компании с возможностью выхода в сеть общего пользования и международного обмена через сервер.
Охранно-пропускной режим обеспечивается правилами, определяющими порядок входа (выхода) людей, вноса (выноса) материальных ценностей на территории (с территории) объекта. Вход в здание контролируется двумя вахтерами. В здании имеется два входа. Вход осуществляется с помощью личных ключей сотрудников. Для прохода посетителя в здании, человек, к которому пришел посетитель, обязан оповестить вахтера о том, что должен прийти человек, а также встретить его на входе.
Помещение здания оборудовано камерой, которая просматривает оба выхода из здания и главный коридор.
Структура предприятия ЗАО «Бионт» представлена в Приложении А.
Перечень, используемых программных средств в АС «Бионт» находится в Приложении Б.
Перечень средств защиты информации, установленных на АС «Бионт» представлен в Приложении В.
1.2Перечень сведений конфиденциального характера, обрабатываемых в автоматизированной системе
При обработке информации конфиденциального характера используется разграничение прав доступа, это происходит в многопользовательском режиме.
В АС «БИОНТ»присутствуют сведения следующего характера:
 сведения, составляющие информацию конфиденциального характера партнеров, переданные на доверительной основе;
 сведения о заказчиках, подрядчиках, поставщиках, клиентах, потребителях, покупателях, спонсорах, посредниках, а также конкурентах, которые не содержатся в открытых источниках;
 сведения о целях, задачах, тактике и результатах переговоров с деловыми партнерами;
 условия предлагаемых, осуществляемых и исполненных коммерческих контрактов, платежей и услуг; 
 данные об объемах закупок-продаж товаров и услуг;
 современные методы проектирования и испытания современных и перспективных устройств и систем;
 информация о себестоимости и контрактных ценах научных разработок, товаров, услуг;
 научно-техническая, технологическая, конструкторская и проектная документация;
 результаты дипломных проектов, учебно-исследовательских работ студентов и аспирантов, имеющих практическую ценность.
1.3 Выводы по разделу
В данном разделе был проведен общий анализ объекта информатизации. В разделе приводится описание компании ЗАО «БИОНТ», основной род деятельности, структура, требующая принятия мер по защите информации.
Определен состав ОТСС и ВТСС АС «БИОНТ».
Анализ характера информации, обрабатываемой в АС «БИОНТ» предполагает принятие мер по защите информации.


2 Анализ угроз безопасности информации
2.1 Анализ нормативных правовых документов в сфере информационной безопасности
Чтобы определить порядок и методы защиты информации, содержащей конфиденциальные сведения, от утечки использовались следующие документы:
 Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»[2]; 
 Руководящий документ. Автоматизированные системы. 
Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации[3];
 Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)[5];
 Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации [6];
 Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации [7][АОК-1- 01у].
2.2. Требования к объекту информатизации
По требованию обладателей конфиденциальной информации, обрабатывающейся в АС «БИОНТ», на основании заключенного договора, ЗАО «БИОНТ» обязана аттестовать АС по классу защищенности 1Г в соответствии с руководящим документом«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» [3].
Требования к АС «БИОНТ», имеющей класс защищенности 1Г:
Подсистема управления доступом:
 должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов;
 должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;
 должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
 должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
Подсистема регистрации и учета:
 должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:
 дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (остановки) системы;
 результат попытки входа: успешная или неуспешная – несанкционированная;
 идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
 код или пароль, предъявленный при неуспешной попытке;
 должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. В параметрах регистрации указываются:
 дата и время выдачи (обращения к подсистеме вывода);
 спецификация устройства выдачи [логическое имя (номер) внешнего устройства];
 краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;
 идентификатор субъекта доступа, запросившего документ;
 должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:
 дата и время запуска;
 имя (идентификатор) программы (процесса, задания);
 идентификатор субъекта доступа, запросившего программу (процесс, задание);
 результат запуска (успешный, неуспешный - несанкционированный);
 должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.В параметрах регистрации указываются:
 дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная;
 идентификатор субъекта доступа;
 спецификация защищаемого файла;
 должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются:
 дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная;
 идентификатор субъекта доступа;
 спецификация защищаемого объекта [логическое имя (номер)];
 должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);
 учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);
 должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
Подсистема обеспечения целостности:
 должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды. При этом:
 целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;
 целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
 должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;
 должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД;
 должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности [3].
2.3. Модель нарушителя в АС «БИОНТ»
Целью разработки модели нарушителя является формирование предположения о типах, видах нарушителей, способных реализовать угрозы безопасности информации в автоматизированной системе, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.
Результаты оценки возможностей нарушителей содержат:
 типы, виды и потенциал нарушителей, которые могут обеспечить реализацию угроз безопасности информации; 
 цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации; 
 возможные способы реализации угроз безопасности информации.
2.3.1 Типы и виды нарушителей
Согласно методике определения угроз безопасности, в информационных системах [8], по наличию права постоянного или разового доступа в контролируемую зону АС «БИОНТ» нарушители подразделяются на два типа: 
 внешние нарушители – лица, не имеющие доступа к АС «БИОНТ» и реализующие угрозы безопасности информации из внешних сетей связи общего пользования и (или) сетей международного информационного обмена; 
 внутренние нарушители– лица, имеющие право постоянного или разового доступа к АС «БИОНТ».
Классификация внутренних и внешних нарушителей по категориям:
Внешние нарушители: Лица, не имеющие доступа к АС «БИОНТ», реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена (разведывательные службы государств, криминальные структуры, конкуренты (конкурирующие организации), недобросовестные партнеры, внешние субъекты (физические лица).
Внутренние нарушители:
 Категория 1. Лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к информационным ресурсам;
 Категория 2. Зарегистрированн.......................