- Дипломы
- Курсовые
- Рефераты
- Отчеты по практике
- Диссертации
Создание системы защиты информации на предприятии ООО «Промышленная Безопасность»
| Код работы: | W011193 |
| Тема: | Создание системы защиты информации на предприятии ООО «Промышленная Безопасность» |
Содержание
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САРАТОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
ИМЕНИ ГАГАРИНА Ю.А.»
Институт прикладных информационных технологий и коммуникаций
Кафедра «Информационная безопасность автоматизированных систем»
Специальность 10.05.03 «Информационная безопасность автоматизированных систем»
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
Создание системы защиты информации на предприятии ООО «Промышленная Безопасность»
Студент Коптев Евгений Вячеславович
курс 5 группа с-ИБС51
Руководитель
доцент каф. ИБС, к.т.н., доцент _________________________ И.И. Иванов
(должность, уч. степень, уч. звание) подпись, дата
Допущен к защите
Протокол № _____ от «05» июня 2018 года
Зав. кафедрой «Информационная безопасность автоматизированных систем»
профессор каф. ИБС, д.ф.-м.н., профессор __________________ В.Б. Байбурин
подпись, дата
Саратов 2018 г
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САРАТОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
ИМЕНИ ГАГАРИНА Ю.А.»
Институт прикладных информационных технологий и коммуникаций
Кафедра «Информационная безопасность автоматизированных систем»
Специальность 10.05.03 «Информационная безопасность автоматизированных систем»
ЗАДАНИЕ
на выпускную квалификационную работу
Студенту Коптеву Евгению Вячеславовичу
Тема ВКР: Создание системы защиты информации на предприятии ООО «Промышленная Безопасность»
утверждена на заседании кафедры, протокол № 15 от «05» декабря 2017 г.
Дата защиты «_____» _________________ 2018 г.
Оценка защиты ______________________
Секретарь ГЭК Мантурова И.А._______________________
подпись
Саратов 2018 г
Целевая установка и исходные данные
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
№
перечень чертежей, подлежащих разработке
формат, кол-во
ppt, 1
Руководитель
доцент каф. ИБС, к.т.н., доцент _________________________ И.И. Иванов
(должность, ученая степень, уч. звание) подпись, дата
Содержание расчетно-пояснительной записки
____________________________________________________________________________________
(перечень вопросов, подлежащих разработке)
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
___________________________________________________________________________________
____________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Основная рекомендуемая литература
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Руководитель
доцент каф. ИБС, к.т.н., доцент _________________________ И.И. Иванов
(должность, ученая степень, уч. звание) подпись, дата
Задание принял к исполнению: ____________________________ Т.П. Петрова
подпись, дата
УТВЕРЖДАЮ:
Руководитель ВКР ___________Иванов И.И.
«05» марта 2018 г.
КАЛЕНДАРНЫЙ ГРАФИК
работы над ВКР
№
разделы, темы, их содержание
по плану
фактически
Отметка о выполнении
дата
%
дата
%
1.
Введение
10.03
5%
не заполнять
не заполнять
16.
Оформление пояснительной записки
30.05
7%
не заполнять
не заполнять
Студент _________________________ Т.П. Петрова
подпись, дата
Реферат
Данная работа содержит 85 страницы, 11 рисунков, 6 таблиц, 3 схемы и 10 приложений. Ключевые слова: защита информации, технические средства защиты, каналы утечки информации.
Объектом анализа является фирма ООО «Сервис 007». В данной работе был проведен анализ системы защиты информации, по результатам которой было составлено техническое задание.
По этому заданию была разработана более качественная система защиты информации и помещений. Также были разработаны практические рекомендации для сотрудников фирмы.
Abstract
This work contains 85 pages, 11 figures, 6 tables, 3 schemes and
10 applications. Keywords: information security, technical means of protection of information leakage channels.
The object of analysis is the firm "Service 007". In this paper we analyzed the results of the information security system which terms of reference were drawn up.
In this task more qualitative system of information security and space has been developed. Also, practical guidelines for the company's employees have been developed.
2
ИСПОЛЬЗУЕМЫЕ ОБОЗНАЧЕНИЯ
ИБ – информационная безопасность
СЗКИ – средства защиты конфиденциальной информации
КИ – кредитная история
СЗИ – система защиты информации
ЛВС – локально-вычислительная сеть
АРМ – автоматизированное рабочее место
ТЗ – техническое задание
ПРД – правила разграничения доступа
ЦП – цифровая подпись
ПО – программное обеспечение
ПЭП – простая электронная подпись
ЗИ — защита информации
ФСТЕК – Федеральная служба по техническому и экспортному контролю
ТЗИ — техническая защита информации
БЦ — бизнес центр
ГОСТ — межгосударственный стандарт
ОС – операционная система
ПЭМИН – побочные электромагнитные излучения и наводки;
ПК — персональный компьютер
НСД – несанкционированный доступ;
ГШ– генератор шума
СКУД — система контроля и управления доступом
3
Содержание
Введение……………………………………………………………………… 8
1. Основные вопросы защиты информации……………………...............… 9
1.1 Защита информации на предприятиях………………………………. 9
1.2 Виды угроз и способы защиты информации……………………...... 10
2. АНАЛИЗ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ООО «СЕРВИС
007»……………………………………………………………..................…. 15
2.1 Структура фирмы ООО «Сервис 007»……………………………….. 15
2.2 Система защиты информации и политика безопасности фирмы….. 17
2.3 Анализ укрепленности здания и прилегающей территории ………. 20
2.4 Возможные каналы утечки информации……………………………. 22
2.5 Модель нарушителя системы защиты информации………………... 23
3. РАЗРАБОТКА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ООО «СЕРВИС
007»……………………..................………………………………………… 26
3.1 Разработка структурной схемы безопасности объекта…………….. 26
3.2 Разработка системы защиты информации…………………………. . 27
3.2.1 Серверная……………………………………………………………. 27
3.2.2 Переговорная………………………………………………………... 30
3.2.3 Кабинет генерального директора………………………………….. 34
3.2.4 Кабинет бухгалтерии……………………………………………….. 37
3.2.5 Касса………………………………………………………………… 41
3.3 Выбор необходимого оборудования и программного обеспечения…. 46
4. ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ
ООО «СЕРВИС 007»………………......................................………………. 60
4.1 Инструкции для сотрудников кассы…………………………………. 60
4.2 Инструкции для системного администратора………………………. 60
4.3 Инструкция по использованию генератора шума………………….. 62
4.4 Инструкция по проведению конфиденциальных переговоров……. 62 Заключение…………………………………………………………………... 64
Список использованных источников………………………………………. 65
ВВЕДЕНИЕ
Уже с середины 90-х годов в нашу жизнь очень активно вошли технические средства по работе с информацией. На данный момент почти не осталось людей, которые не работали бы с компьютерами и другими устройствами. Сейчас почти вся информация хранится в электронном виде. Совсем не удивительно, что мы всё чаще слышим, о хищении информации, несанкционированном доступе, разглашении конфиденциальных данных, а так же других попытках раздобыть закрытую информацию.
Поэтому одновременно с появлением компьютерных технологий появилась необходимость защищать как сами технические средства так и информацию на них.
В 1996 году появился ГОСТ Р 50922-96, который определил защиту информации как деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
И на данный момент защита информации является одной из основных областей развития технологий.
1. Основные вопросы защиты информации
1.1 Защита информации на предприятиях
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- соблюдение конфиденциальности информации ограниченного
доступа;
- реализацию права на доступ к информации.
Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.[1]
Что можно отнести к объектам защиты информации?
- одним из главных объектов ЗИ являются люди - персонал предприятия (большая часть утечки информации происходит именно по вине персонала);
- ещё одним важным объектом являются финансовые средства;
- материальные ресурсы ( здания, склады, средства перемещения и.т.п.);
- непосредственно информация с ограниченным доступом (она может храниться как на бумаге, так и на других носителях);
- средства и системы информатизации;
- технические средства и системы охраны и защиты материальных и информационных ресурсов.[2]
Итак, выяснив, что нам нужно защищать, необходимо понять от чего мы защищаем, и откуда может прийти угроза.
1.2 Виды угроз и способы защиты информации
Угроза — это потенциально возможное или реальное действие злоумышленника способное нанести моральный или материальный ущерб.
1. Классификация угроз
Угрозы можно классифицировать по нескольким критериям:
- по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого, угрозы направлены в первую очередь;
- по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура,
поддерживающая инфраструктура);
- по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);
- по расположению источника угроз (внутри/вне рассматриваемой ИС).
- по размеру наносимого ущерба (общие, локальные, частные)
Источники угроз
Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:
- криминальные структуры;
- потенциальные преступники и хакеры;
- недобросовестные партнеры;
- технический персонал поставщиков услуг;
- представители надзорных организаций и аварийных служб; - представители силовых структур.
Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:
- основной персонал (пользователи, программисты, разработчики);
- представители службы защиты информации;
- вспомогательный персонал (уборщики, охрана);
- технический персонал (жизнеобеспечение, эксплуатация).
Технические средства, являющиеся источниками потенциальных угроз безопасности информации, также могут быть внешними:
- средства связи;
- сети инженерных коммуникации (водоснабжения, канализации); - транспорт.
И могут быть внутренними:
- некачественные технические средства обработки информации;
- некачественные программные средства обработки информации;
- вспомогательные технические средства (охраны, сигнализации, телефонии);
- другие технические средства, применяемые в учреждении.[3]
Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационнораспорядительными и нормативными документами по защите информации.
2. Способы защиты информации от различных видов угроз.
Технологии защиты данных основываются на применении современных методов, которые предотвращают утечку информации и ее потерю.
Сегодня используется шесть основных способов защиты:
- Препятствие;
- Маскировка;
- Регламентация;
- Управление;
- Принуждение;
- Побуждение.
Все эти методы основаны на построение хорошей технологии защиты информации, при которой исключены потери по причине неопытности персонала и они успешно отражают различные виды угроз.[4]
Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию.
Маскировка - способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Для расшифровки требуется знание принципа.
Управление - способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы.
Регламентация - важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.
Принуждение - методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Если используются способы воздействия на работников, при которых они выполняют инструкции по этическим и личностным соображениям, то речь идет о побуждении.
Способы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:
- физические;
- программные и аппаратные;
- организационные;
- законодательные;
- психологические.
Физические средства защиты информации предотвращают доступ посторонних лиц на охраняемую территорию. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна. Для усиления защиты информации используются пропускные пункты, на которых контроль доступа осуществляют люди (охранники) или специальные системы. С целью предотвращения потерь информации также целесообразна установка противопожарной системы.
Физические средства используются для охраны данных, как на бумажных, так и на электронных носителях.
Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации.
Программные средства - программы, отражающие хакерские атаки. Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений. При помощи комплекса аппаратуры и программ обеспечивается резервное копирование информации — для предотвращения потерь.
Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения. При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.
Законодательные средства - комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.
Психологические средства - комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации. Для создания личной заинтересованности персонала руководители используют разные виды поощрений. К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.
После подробного разбора угроз, отлично видно, что проблемы могут прийти с разных сторон. Именно поэтому необходимо использовать не одно какое-то средство, а строить целую систему средств защиты информации от различных видов угроз.
2. Анализ системы защиты информации в ООО «Промышленная безопасность»
2.1 Структура фирмы ООО «Промышленная безопасность»
ООО «Промышленная безопасность» работает в нескольких направлениях:
- Торговля;
- Разработка проектов по кондиционированию воздуха, холодильной технике, санитарной технике и мониторингу загрязнения окружающей среды, строительной акустике;
- ремонт различной техники.
Основной задачей компании является круглосуточное обслуживание клиентов и оказание необходимых услуг клиентам, в кратчайшие сроки.
Штат организации включает в себя не только персонал, работающий непосредственно в офисе, но и большое количество мастеров работающих на адресах у клиентов.
В офисах, которые мы будем рассматривать, осуществляется прием заказов от клиентов, бухгалтерский учет и другой документооборот, хранение архивных документов, прием-передача денежных средств, как от клиентов, так и от работников (мастеров, которые выезжают на вызовы; курьеров). Так же в офисе фирмы проводятся планирование и управление деятельностью организации, проведение переговоров, заключение договоров и другие организационные мероприятия.
Численность сотрудников офиса больше 100 человек. Это генеральный директор, два заместителя, финансовый директор, It отдел, web-отдел, call центр, отдел бухгалтерии, отдел аналитики, касса, отдел корпоративных клиентов, и множество других важных отделов.
Структурная схема управления организацией ООО «Промышленная безопасность»
На Схеме 1 представлена структурная схема управления организацией.
Схема 1. Структурная схема управления организацией
В офисе существует своя локальная сеть, доступ к которой имеют только сотрудники фирмы.
График работы фирмы – 24 часа в сутки. Основная часть офиса (бухгалтерия, отдел кадров, отдел рекламы, юрист, секретариат) работают с 9.00 до 18.00.
Ключи от всех помещений находятся в одном из кабинетов. Ключи от бухгалтерии, кабинета ген. директора и кассы находятся только у сотрудников, работающих в этих помещениях. Так же на случай чрезвычайной ситуации копии ключей находятся на вахте БЦ в опечатанных кейсах. Доступ в кассу и бухгалтерию без сотрудников данных помещений запрещен. Уборкой помещений занимается клининговый отдел БЦ. Уборка производится каждый рабочий день утром с 9.00 часов.
2.2 Система защиты информации в организации и политика безопасности
Фирма арендует несколько помещений в семиэтажном бизнес центре. В помещениях уже есть некоторые разработанные и внедренные меры по защите информации.
В БЦ:
- осуществляется проход по пропускам;
- по всем коридорам здания и у входов установлены камеры видеонаблюдения;
- несколько раз в сутки охрана осуществляет обход центра; Офисы, которые занимает организация:
- на большинстве дверей в кабинеты фирмы установлены магнитные замки. Смарт-карты к ним выдает заместитель генерального директора, он же и определяет, куда сотрудник по данной карте может пройти;
- внутри нескольких помещений установлены камеры
видеонаблюдения;
- чтобы начать работу с ресурсами сети, необходимо ввести логин и пароль, который выдает системный администратор;
- разработаны должностные инструкции для сотрудников,
устанавливающие их обязанности;
Основными объектами защиты на данном предприятии являются:
- кабинет ген. директора; - финансового директора;
- переговорная;
- кассы;
- серверная;
- конфиденциальная информация.
На предприятии отсутствуют сведения, составляющие государственную тайну, но ведется работа с конфиденциальной информацией. Конфиденциальную информацию составляют сведения, составляющие коммерческую тайну, и сведения, содержащие персональные данные.
Конфиденциальной информацией в организации являются:
- сведения по вопросам управления, кадровым, штатным, правовым вопросам и вопросам региональной политики;
- сведения по экономической, финансовой и бухгалтерской
деятельности;
- сведения по коммерческой деятельности на внутреннем рынке; - сведения по вопросам внешнеэкономической деятельности.
Режим коммерческой тайны не может быть установлен в отношении сведений, перечисленных в ст. 5 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне"
Так же необходимо понимать, как происходит обмен информацией в фирме (схема обмена информацией в фирме представлена на Схеме 2). Чтобы в дальнейшем правильно разграничить доступ к конфиденциальным данным.
Схема 2. Обмен информацией в фирме.
Для построения системы защиты информации необходимо выполнить следующие задачи: проанализировать объект защиты; составить перечень объектов защиты; определить перечень угроз для этих объектов; дополнить имеющиеся меры защиты; составить комплекс организационных мероприятий; проработать перечень программно-аппаратных и инженернотехнических мер.
Требуется улучшить существующую защиту информации внутри нескольких помещений:
- серверная;
- переговорная;
- кабинет ген. директора;
- касса;
- бухгалтерия.
В перечисленных помещениях хранится и обрабатывается конфиденциальная информация, поэтому эти помещения необходимо защитить не только физическими средствами, но и техническими.
2.3 Анализ укрепленности здания и прилегающей территории
План прилегающей территории с её кратким описание представлен на рисунке 1.
Обозначение на плане
Назначение
БЦ 1
Бизнес центр. В этом здании располагаются офисы
ООО «Сервис 007»
БЦ 2
Бизнес центр
ЖД 1, ЖД 2, ЖД 3, ЖД 4
Жилые дома
ПЗ
Промышленная зона (несколько небольших
магазинов, автомойки, автомастерские)
СТ
Стоянка принадлежит БЦ 1, огорожена забором.
Рисунок 1. План прилегающей территории
Фасадная часть БЦ, в котором находятся офисы ООО «Сервис 007» , выходит на улицу, забором не окружена. На другой стороне улицы ещё один БЦ. Противоположная часть здания выходит во двор, окружена металлическим решетчатым забором. В 50 метрах от БЦ стоят несколько жилых домов.
Наружные стены здания выполнены из кирпичной кладки, толщина несущих стен составляет 60 см, перегородки выполнены из гипсокартона – 15 см. Высота помещения составляет 4 м.
Потолки помещений – железобетонные плиты толщиной 400 мм, установлен подвесной потолок плиты которого, созданы из минерального волокна толщиной 2 см. Пол – железобетонные плиты толщиной 400 мм, покрытые линолеумом.
Входные двери в большинство помещений металлические. Двери внутри помещений деревянные. Все двери оснащены врезными механическими замками, а двери в бухгалтерию и кассу ещё и магнитными замками. Окна в помещениях изготовлены из профиля ПВХ и оснащены двойными стеклопакетами.
План БЦ где находятся офисы ООО «Сервис 007» представлен в Приложении 1.
В БЦ смонтированы и находятся в рабочем состоянии следующие инженерные системы: система отопления (см. Приложении 2); холодного и горячего водоснабжения (см. Приложении 3); вентиляции (см. Приложении
4).
В здании также присутствует охранно-пожарная сигнализация и система видеонаблюдения. По всему зданию расставлены порошковые огнетушители. Расположение этих устройств изображено в Приложении 5.
Освещение в БЦ электрическое. Электропроводка по стенам проложена в пластиковых кабель-каналах, за подвесными потолками в пластиковых трубах. В здании присутствуют система аварийного освещения и система гарантированного электропитания.
Схема освещения представлена в Приложении 6. Для освещения помещений используются галогенные потолочные светильники.
Все эти системы важно изучить, чтобы не допустить утечки информации через них.
2.4 Возможные каналы утечки
Для сохранения конфиденциальной информации необходимо точно знать возможные каналы утечки информации. Причиной утечки могут стать как случайные ошибки персонала, так и нацеленные действия злоумышленников.[5] Каналами утечки информации являются:
- сотрудники организации. Во всех организациях через сотрудников утекает самое большое количество информации. Это могут быть как «обиженные» сотрудники, так и случайные ошибки честных пользователей;
- оптический канал утечки. Большая часть помещений выходит окнами во двор, напротив нашего здания стоят два жилых дома. При хороших условиях, из этих зданий можно не вооруженным глазом увидеть, что происходит в помещении;
- акустический канал. Стены внутри помещений сделаны из более тонкого материала, который очень хорошо пропускает звук. Также из зданий напротив можно получить акустическую информацию;
- электрический канал. Большая часть различных проводов проходит по общим помещениям. За эту проводку отвечают сотрудники соответствующих служб БЦ;
- материальный канал утечки (документы, техника, мусор). Хотя сейчас в большинстве случаев информация и хранится в электронном виде, попрежнему есть информация, которая хранится на бумаге. Такую информацию очень просто получить злоумышленнику, потому что она часто хранится не в защищенных местах.
Модель нарушителя системы защиты информации
Из вышеизложенных возможных каналов утечки, можно построить модель нарушителя (см. Таблицу 1).
Таблица 1. Модель нарушителя.
№
Тип угрозы
Вероятный нарушитель
Способ реализации угрозы
Как устранить угрозу
1
Копирование, удаление, изменение информации в компьютерах
Сотрудник организации
Если у сотрудника есть логин и пароль (или он знает логин-пароль другого сотрудника), он может скопировать, удалить, изменить любую информацию, к которой есть доступ.
Управление доступом к ресурсам ПЭВМ средствами СЗИ от НСД. Регистрация действий пользователей средствами СЗИ от НСД.
Регламентация прав и ответственности пользователей
2
Визуальный просмотр информации
Злоумышленник
Из дома напротив очень хорошо просматривается несколько важных помещений.
Использовать плотные жалюзи во время переговоров или показа какой-то информации.
3
Запись информации
Сотрудники, обслуживающий персонал, посетители
При доступе в помещения, можно установить скрытую камеру
Перед какими-то важными мероприятиями, необходимо проверять помещение на посторонние
устройства
4
Прослушивание информации снаружи офиса
Злоумышленники, конкуренты
Из соседнего дома, при использовании оборудования можно прослушивать о чем говорят в помещениях БЦ.
Использование генератора шума
Продолжение Таблицы 1
5
Прослушивание информации внутри помещений
Сотрудники организации, посетители, обслуживающи
й персонал, сотрудники других фирм
Стены помещений очень хорошо пропускают звук, и не применяя никаких специальных средств, можно услышать о чем говорят в соседнем помещении
Произвести звукоизоляцию помещений
6
Установка прослушивающих устройств
Сотрудники, обслуживающий персонал, посетители
При возможности попасть в важное помещение, злоумышленник может спрятать закладное устройство.
Перед какими-то важными мероприятиями, необходимо проверять помещение на посторонние устройства
7
Подключения к каналам связи
Злоумышлен-
ник, обслуживающий персонал, посетитель
Съем информации путем контактного подключения к кабельным линиям связи, или бесконтактный съем информации с кабельных линий связи.
Использования средств физической защиты информации, включающих в себя постановщики заградительных помех, фильтры и средства физического поиска каналов утечки информации.[6]
8
Материальный канал утечки
Сотрудники, посетители, обслуживающий персонал, злоумышленник
Можно забрать с любого стола документы, переносимое запоминающее устройство, добыть информацию в мусоре.
Доступ к конфиденциальной информации должен строго контролироваться. Также как доступы в важные помещения. Информация должна уничтожаться должным образом.
После изучения возможных моделей нарушителя, становится понятно, что утечка информации может произойти по различным каналам. Поэтому необходимо организовать комплексную систему защиты информации, которая будет препятствовать использованию злоумышленниками любого из каналов утечки.
3. Разработка системы защиты информации в ООО «Сервис 007»
3.1 Разработка структурной схемы безопасности объекта
Структурная схема безопасности объекта представлена на Схеме 3
Схема 3. Структурная схема безопасности объекта
В офисе уже организована защита физическим методом, организационным, законодательным и программно-аппаратным, но нет никакой защиты техническими методами. Получается, что информация не защищена от прослушивания, визуального просмотра и от утечек по канал связи.
Но ЗИ должна включать в себя пять методов и каждый из этих методов важен в построении защиты. Поэтому защита важных, для организации, помещений будет построена в основном с использованием технического метода.
3.2 Разработка системы защиты информации
3.2.1 Помещение - Серверная
Помещение серверной находится на 3 этаже( на общей схеме отмечено номером 12), окна выходят на улицу, напротив окон серверной находится промышленная зона. Размеры помещения: длина 6 м., ширина 3,5 м., высота 4 м. Дверь в помещение серверной деревянная, с механическим замком.
План серверной представлен на рисунке 1.1.
Рисунок 1.1. Серверная
Возможные каналы утечки информации:
- акустический (открытая дверь, вентиляция);
- виброакустический (стены);
- утечка по линиям электропитания;
- акустоэлектрический (извещатели);
- высокочастотный канал утечки в технике, высокочастотное навязывание;
- радиозакладки в стенах, подвесных потолках, вентиляци....................... |
Для получения полной версии работы нажмите на кнопку "Узнать цену"
| Узнать цену | Каталог работ |
Похожие работы:
- Разработка организационных мер защиты информации на предприятии.
- Разработка мероприятий или системы защиты информации от внутренних нарушителей
- Контроль обеспечения информационной безопасности хозяйствующего субъекта и разработка рекомендаций по повышению эффективности системы защиты информации предприятия
