Розроблення комплексної системи безпеки підприємства”
| Вид материала | Документы |
- Розроблення комплексної системи безпеки підприємства, 616.4kb.
- Реферат на тему, 228.7kb.
- Нормативний документ системи технічного захисту інформації методичні вказівки щодо, 190.87kb.
- Управління грошовими потоками підприємства, 137.28kb.
- Кабінету Міністрів України: забезпечити розроблення у шестимісячний строк проектів, 102.59kb.
- Навчально-методичний комплекс з дисципліни "управління потенціалом підприємства" для, 135.11kb.
- Україна бериславська районна державна адміністрація херсонської області, 62.89kb.
- Україна вознесенська районна державна адміністрація миколаївської області розпорядженн, 18.14kb.
- Менеджменту інформаційної безпеки, 124.45kb.
- Підгаєцька районна державна адміністрація розпорядженн я голови районної державної, 24.59kb.
Визначення переліку об’єктів, які підлягають захисту. Побудова моделей об’єктів.
Перелік об’єктів, що підлягають захисту:
1. Інформаційні ресурси:
1.1. Інформація стосовно соціологічних досліджень та опитувань
1.2. інформація для службового користування
2. Матеріальні (фінансові) ресурси:
2.1. Основні технічні засоби (ОТЗ):
2.1.1. Чотири персональні комп’ютери;
2.1.2 Локальна мережа з виходом в Інтернет;
2.1.3. Зовнішній модем,
2.1.3. Виділена телефонна лінія між філією та центральним офісом;
2.1.5. Сигнальні лінії мережі Ethernet
2.2. Технічні засоби передачі інформації (ТЗПІ):
2.2.1. Переговорний пристрій,
2.2.2. Внутрішня МініАТС;
2.2.3. Системний телефон;
2.2.4. Телефони підключені до МініАТС;
2.2.5. Телефакс;
2.2.6. Сканер;
2.2.7. Система супутникового телебачення (НВЧ-конвертор, параболічна антена, ВЧ-кабель, тюнер);
2.3. Допоміжні технічні засоби і системи (ДТЗС):
2.3.1. Лінії пожежної сигналізації;
2.3.2. Кабелі телефонного зв’язку;
2.3.3. Лінії мережі електроживлення;
2.3.4. Чотири лампи денного світла;
2.3.5. Сторонні незадіяні дроти;
2.4. Зовнішні об’єкти (ЗО):
2.4.1. Вікна.
2.4.2. Двері.
2.4.3. Каналізаційний люк.
2.4.4. Люк водопостачання.
2.4.5. Трансформаторний підсилювач.
2.4.6. Автостоянки.
2.4.7. Огорожа.
3. Персонал.
Модель Обєктів захисту
| Об’єкт захисту | Характеритика | ДДжерела загроз | Ступень Важливості |
| Персональний комп’ютер | Intel Сeleron 2.8; ATX; 512 Mb DDR2; ATI Radeon 9600Pro; 120 Gb HDD; Lite-On DVD-RW ; Samsung LCD 17" | Апаратура,персонал, програми | Найвищий |
| Локальна мережа з виходом в Інтернет | 4 Персональних компютера з’єднаних кабелем "вита пара” з виходом в Інтернет через зовнішній модем | Середовище, програми,апаратура | Високий |
| Зовнішній модем | Zyxel 56K | апаратура | середній |
| Виділена телефонна лінія між філією та центральним офісом | Телефонна лінія розрпхована на 128 користувачів; загальна кількість каналів використаних на даний момент користувачами 45 | Середовище,апаратура | середній |
| Сигнальні лінії мережі Ethernet | 50 метрів кабелю 10Base-T | Середовище,апаратура | середній |
| Переговорний пристрій | Сталевий переговорний пристрій. С-20 | апаратура, персонал | високий |
| Внутрішня МініАТС | Мiнi АТС 6*16 KX-TEM824UA | апаратура, | високий |
| Системний телефон; | системний телефон Panasonic KX-T7240 | апаратура, | високий |
| Телефони підключені до МініАТС | ТЕЛЕФОН GE CE2-7850-GE DECT | апаратура,персонал | високий |
| Телефакс | ФАКС PANASONIC KX-FT908UA-B BLACK | апаратура,персонал | високий |
| Сканер | Сканер HP ScanJet 4070 | Персонал, апаратура | середній |
| Система супутникового телебачення (НВЧ-конвертор, параболічна антена, ВЧ-кабель, тюнер) | ВЧ-кабель – EUPEN EC7-50 (5438) Антенна параболічна GL24110PR24 Модель зовнішнього ТВ-тюнера от AverMedia - AverTV BOX9. НВЧ – конвертор ПС-3600, | Персонал, апаратура, середовище, програми | Середній |
| Лінії пожежної сигналізації | ПВС 2х1.5 | Середовище, апаратура | Середній |
| Кабелі телефонного зв’язку | Телефонний кабель | Середовище, апаратура | Середній |
| Лінії мережі електроживлення | Кабелі електроживлення, систем відео нагляду, сигналізації та ін. | Середовище, апаратура | Середній |
| Чотири лампи денного світла | Енергозберігаючі лампи розжарення ES–GLP 69W | Апаратура | Низький |
| Сторонні незадіяні дроти | різного виду не задіяні дроти | Апаратура | Низький |
| Вікна | 12 ударостійких вікон класу СУ-3 | Середовище, апаратура, персонал | Середній |
| Двері | 9 дверей (Коробка зі швелера 100мм 2 листа металу 3+1,5мм кутник 40-50мм теплоізоляція ROCKWOOL сотова конструкція антизрізи на петлі 2 прошарка гумового ущільнювача) | Середовище, апаратура, персонал | Вискоий |
| Каналізаційний люк | Чавунний люк для захисту каналізаційної ями | Середовище, апаратура | Середній |
| Люк водопостачання | Металічний люк для захисту труб водопостачання | Середовище, апаратура | Середній |
| Трансформаторний підсилювач | Підсилювач змінної напруги | Персонал, апаратура, середовище | Середній |
| Автостоянки | Автостоянка для відвідувачів центру - 12 місць для парковки, для працівників лабораторії - 16 місць | Персонал | Середній |
| Огорожа | Проста стальна огорожа по всьому периметру захисту | Середовище | Високий |
| Персонал | 8 працівників центру, тех. персонал, охорона, адміністратор мережі | Персонал, | Високий |
Модель загроз Об’єктів захисту
| Типи дестабілізуючих факторів | Джерела факторів | ||||
| Персонал | Техничні пристрої | Моделі, алгоритми програм | Технологічне функціонування | Зовнішнє середовище | |
| Якісна недостатність | 1.1 | 1.2 | 1.3 | 1.4 | - |
| Кількісна недостатність | 2.1 | 2.2 | 2.3 | 2.4 | - |
| Відмова | 3.1 | 3.2 | 3.3 | 3.4 | - |
| Збої | 4.1 | 4.2 | 4.3 | 4.4 | - |
| Помилки | 5.1 | 5.2 | 5.3 | 5.4 | - |
| Стихійні лиха | 6.1 | 6.2 | 6.3 | 6.4 | - |
| Злочинні дії | 7.1 | - | - | - | 7.5 |
| Побічні явища | 8.1 | 8.2 | 8.3 | 8.4 | 8.5 |
1.1. Якісна недостатність персоналу.
| | Співробітники СБ | Технічний персонал | Обслуговуючий персонал | Користувачі | Адміністратори ЛОМ | Керівники |
| Недбалість | - | - | + | + | + | + |
| Поломка-А | + | + | + | + | + | + |
| Поломка-Н | - | - | + | + | + | + |
| НСД-ЛОМ | - | - | + | - | + | - |
| Переадресація | - | - | + | - | + | + |
| Нав’язування | + | + | - | - | - | - |
| Відключення-З | - | + | + | - | + | - |
| Пошкодження | + | + | + | + | + | + |
| Імітація | + | + | + | + | - | - |
| НСД-РС | + | + | + | - | - | - |
| Взлом | - | + | + | + | - | - |
| Перехоплення | - | + | + | + | - | - |
| Вади | - | - | - | - | + | - |
| Дезорганізація | + | + | + | + | + | + |
2.1. Кількісна недостатність персоналу.
| | Співробітники СБ | Технічний персонал | Обслуговуючий персонал | Користувачі | Адміністратори ЛОМ | Керівники |
| Відмова-Л | + | + | + | + | + | + |
| Читання-С | + | + | + | + | + | + |
| Читання-Е | + | - | - | + | + | - |
| Читання-Д | - | + | - | + | - | - |
| Відключення-З | + | - | + | - | - | - |
| Випитування | + | - | - | + | - | + |
| Копіювання | + | + | + | - | - | - |
| Розкрадання | + | + | + | + | - | - |
| НСД-П | + | - | + | + | + | + |
| Взлом | + | - | + | - | - | - |
| Підміна | - | - | + | - | + | - |
| Закладка | + | - | + | - | - | - |
| Вірус | - | - | - | - | + | - |
3.1. Відмови персоналу.
| | Співробітники СБ | Технічний персонал | Обслуговуючий персонал | Користувачі | Адміністратори ЛОМ | Керівники |
| Відмова-Л | + | + | + | + | + | + |
5.1. Помилки персоналу.
| | Співробітники СБ | Технічний персонал | Обслуговуючий персонал | Користувачі | Адміністратори ЛОМ | Керівники |
| Помилка-Л | + | + | + | + | + | + |
7.1. Здочинні дії персоналу.
| | Співробітники СБ | Технічний персонал | Обслуговуючий персонал | Користувачі | Адміністратори ЛОМ | Керівники |
| Копіювання | + | + | + | - | + | - |
| Розкрадання | + | + | + | + | - | - |
| Імітація | + | + | + | + | - | - |
| НСД-РС | + | + | + | - | - | - |
| НСД-П | + | - | + | + | + | + |
| Вади | - | - | - | - | + | - |
| Підміна | - | - | + | - | + | - |
| Дезорганізація | + | + | + | + | + | + |
| Вербування | + | + | + | + | + | + |
1.2. Якісна недостатність тех. пристроїв.
а) Основні технічні засоби (ОТЗ):
| | Персональнй комп’ютер | Зовнішній модем | Виділена телефонна лінія між філією та центральним офісом | Сигнальні лінії мережі Ethernet |
| Перешкоди | + | + | + | + |
| ЕМС | + | + | + | + |
| Відмова-А | + | + | + | + |
| Відмова-З | + | + | + | + |
| Збій-А | + | + | + | + |
| Збій-З | + | + | - | - |
| Поломка-Н | + | + | - | - |
| Підключення | - | + | + | + |
| ПЕМВ | - | + | + | + |
| Е-Наводи | - | - | + | - |
| Вібро-акустика | - | - | - | - |
| Спецвплив | + | + | - | - |
| Е-імпульс | + | + | - | - |
| Підслуховування-Т | - | - | + | - |
| Оптика | + | - | - | - |
| НСД-ЛОМ | + | + | - | + |
| Прослуховування | - | + | - | + |
| Читання-С | + | - | - | - |
| Читання-Е | + | - | - | - |
| Читання-Д | - | - | - | - |
| Відключення-З | - | - | + | + |
| Закладка | - | - | - | - |
| Копіювання | + | - | - | - |
б) Технічні засоби передачі інформації (ТЗПІ):
| | Переговорний пристрій | Внутрішня МініАТС | Системний телефон | Телефони підключені до МініАТС | Телефакс | Сканер | Система супутникового телебачення (НВЧ-конвертор, параболічна антена, ВЧ-кабель, тюнер) |
| Перешкоди | + | - | - | - | - | - | - |
| ЕМС | + | + | + | + | + | + | + |
| Відмова-А | + | + | + | + | + | + | + |
| Відмова-З | + | + | + | + | + | + | + |
| Збій-А | -- | - | - | - | + | - | + |
| Збій-З | + | + | + | + | + | + | + |
| Поломка-Н | - | - | - | - | + | + | + |
| Підключення | - | - | - | - | + | - | - |
| ПЕМВ | + | + | + | + | - | + | + |
| Е-Наводи | + | - | - | - | - | - | - |
| Вібро-акустика | - | - | - | - | - | - | - |
| Спецвплив | - | + | - | + | - | - | + |
| Е-імпульс | - | - | - | - | + | + | - |
| Підслуховування-Т | - | - | + | + | - | - | - |
| Оптика | - | - | - | - | + | + | - |
| НСД-ЛОМ | - | - | - | - | - | - | - |
| Прослуховування | - | - | - | - | - | - | - |
| Читання-С | - | - | - | - | - | + | - |
| Читання-Е | - | - | - | - | - | - | - |
| Читання-Д | - | - | - | - | + | - | - |
| Відключення-З | + | + | + | + | + | + | + |
| Закладка | + | - | + | + | - | - | - |
| Копіювання | - | - | - | - | + | + | - |
в) Допоміжні технічні засоби і системи (ДТЗС) та Зовнішні об’єкти (ЗО):
| | Лінії мережі електроживлення | Кабелі телефонного зв’язку | Вікна | Двері | Каналізаційний люк | Люк водопостачання. |
| Вібрація | + | - | + | + | + | + |
| Перешкоди | + | + | - | - | - | - |
| ЕМС | - | + | - | - | - | - |
| Відмова-А | - | - | - | - | - | - |
| Відмова-З | + | + | - | - | - | - |
| Збій-А | - | + | - | - | - | - |
| Збій-З | - | - | - | - | - | - |
| Поломка-Н | - | - | - | - | - | - |
| Підключення | + | + | - | - | - | - |
| ПЕМВ | + | + | - | - | - | - |
| Е-Наводи | + | + | - | - | + | + |
| Вібро-акустика | - | - | + | + | - | - |
| Спецвплив | + | + | - | - | - | - |
| Е-імпульс | - | - | - | - | - | - |
| Підслуховування-Т | - | + | - | - | - | - |
| Оптика | - | - | + | - | - | - |
| НСД-ЛОМ | + | + | - | - | - | - |
| Прослуховування | - | - | - | - | - | - |
| Читання-С | - | - | - | - | - | - |
| Читання-Е | - | - | - | - | - | - |
| Читання-Д | - | - | - | - | - | - |
| Відключення-З | + | + | - | - | - | - |
| Закладка | - | - | - | - | - | - |
| Копіювання | - | - | - | - | - | - |
3.2. Відмови тех. пристроїв.
| | Технічні засоби передачі інформації (ТЗПІ): | Основні технічні засоби (ОТЗ): | Допоміжні технічні засоби і системи (ДТЗС) | Зовнішні об’єкти (ЗО): |
| Відмова-А | + | + | - | - |
| Відмова-З | + | + | + | - |
1.3. Якісна недостатність моделей, алгоритмів програм.
-
Операційна сис-ма
Програмне забеспечення
Програми захисту ПК та адміністрування
Прграми автендифікації користувачів
Відмова-П
+
+
+
+
Помилка-П
+
+
+
+
Вірус
+
+
-
+
Підключення
+
+
-
+
НСД-ЛОМ
+
+
-
+
Переадресація
-
-
+
+
Нав’язування
+
+
-
+
Прослуховування
+
+
+
-
Читання-С
+
+
+
+
Відключення-З
-
-
+
-
Копіювання
+
+
+
-
Імітація
+
-
+
+
НСД-РС
+
+
+
+
НСД-П
+
+
+
+
Взлом
+
+
+
+
Перехоплення
-
-
+
+
Закладка-П
+
+
+
-
Вади
+
+
+
-
Підміна
+
+
+
+
Дезорганізація
+
+
+
+
1.4. Якісна недостатність технологій функціонування
| | Неправильне зберігання | Недбала експлуатація | Недобросовісне виконання своїх службових обовязків |
| Помилка-Л | - | + | + |
| Недбалість | - | + | + |
| Поломка-Н | + | + | - |
| Читання-С | + | - | + |
| Читання-Д | + | - | - |
| Копіювання | - | - | + |
| Розкрадання | - | - | + |
7.5. Злочинні дії з зовнішнього середовища.
| | Будь-яки особи, що знаходяться за межами контрольованої зони. | Відвідувачі (запрошені з деякого приводу) | Представники організацій, що взаємодіють з питань технічного забезпечення (енерго-, водо-, теплопостачання і таке інше) | Хакери | Співробітники закордонних спецслужб або особи, які діють за їх завданням |
| Катастрофа | - | - | - | - | - |
| Умови | - | - | - | - | - |
| Аварія | - | - | - | - | - |
8.5. Побічні явища зовнішнього середовища.
| | Ріізні впливи від стихійнхи лих та впливу навколишнього середовища |
| Катастрофа | + |
| Умови | + |
| Аварія | + |
Специфікація моделі порушника за мотивами здійснення порушень.
Таблиця 1
| Позначення | Мотив порушення | Рівень загрози |
| М1 | Безвідповідальність | 1 |
| М2 | Самоствердження | 2 |
| М3 | Корисливий інтерес | 3 |
| М4 | Професійний обов’язок | 4 |
Специфікація моделі порушника за рівнем кваліфікації та обізнаності щодо АС .
Таблиця 2
| Позначення | Основні кваліфікаційні ознаки порушника | Рівень загрози |
| К1 | Знає функціональні особливості системи, основні закономірності формування масивів даних та потоків запитів до них, має навички щодо користування штатними засобами системи | 1 |
| К2 | Володіє високим рівнем знань та практичними навичками роботи з технічними засобами системи та їх обслуговування | 2 |
| К3 | Володіє високим рівнем знань у галузі програмування та обчислювальної техніки, проектування та експлуатації автоматизованих інформаційних систем | 2 |
| К4 | Знає структуру, функції й механізми дії засобів захисту, їх недоліки | 3 |
| К5 | Знає недоліки та “вади” механізмів захисту, які вбудовані у системне програмне забезпечення та його недокументовані можливості | 3 |
| К6 | Є розробником програмних та програмно-апаратних засобів захисту або системного програмного забезпечення | 4 |
Специфікація моделі порушника за показником можливостей використання засобів та методів подолання системи захисту.
Таблиця 3
| Позначення | Характеристика можливостей порушника | Рівень загрози |
| З1 | Використовує лише агентурні методи одержання відомостей | 1 |
| З2 | Використовує пасивні засоби (технічні засоби переймання без модифікації компонентів системи) | 2 |
| З3 | Використовує лише штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути приховано пронесено крізь охорону | 3 |
| З4 | Застосовує методи та засоби дистанційного (з використанням штатних каналів та протоколів зв’язку) упровадження програмних закладок та спеціальних резидентних програм збору, пересилання або блокування даних, дезорганізації систем обробки інформації. | 3 |
| З5 | Застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передачі даних). | 4 |
Специфікація моделі порушника за часом дії
Таблиця 4
| Позначення | Характеристика можливостей порушника | Рівень загрози |
| Ч1 | До впровадження АС або її окремих компонентів | 1 |
| Ч2 | Під час бездіяльності компонентів системи (в неробочій час, під час планових перерв у роботі, перерв для обслуговування і ремонту і т.д.) | 2 |
| Ч3 | Під час функціонування АС (або компонентів системи) | 3 |
| Ч4 | Як у процесі функціонування АС, так і під час призупинки компонентів системи | 4 |
Специфікація моделі порушника за місцем дії.
Таблиця 5
| Позначення | Характеристика місця дії порушника | Рівень загрози |
| Д1 | Без доступу на контрольовану територію організації | 1 |
| Д2 | З контрольованої території без доступу у будинки та споруди | 1 |
| Д3 | Усередині приміщень, але без доступу до технічних засобів АС | 2 |
| Д4 | З робочих місць користувачів (операторів) АС | 3 |
| Д5 | З доступом у зони даних (баз даних, архівів й т.ін.) | 4 |
| Д6 | З доступом у зону керування засобами забезпечення безпеки АС | 4 |
Політика безпеки.
Під політикою безпеки інформації слід розуміти набір законів, правил, обмежень, рекомендацій і т. ін., які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз. Термін "політика безпеки" може бути застосовано щодо організації, АС, ОС, послуги, що реалізується системою (набору функцій), і т. ін. Чим дрібніше об'єкт, відносно якого застосовується даний термін, тим конкретнішими і формальніше стають правила. Далі для скорочення замість словосполучення "політика безпеки інформації" може використовуватись словосполучення "політика безпеки", а замість словосполучення "політика безпеки інформації, що реалізується послугою" — "політика послуги" і т. ін.
Політика безпеки інформації в АС є частиною загальної політики безпеки організації і може успадковувати, зокрема, положення державної політики у галузі захисту інформації. Для кожної АС політика безпеки інформації може бути індивідуальною і може залежати від технології обробки інформації, що реалізується, особливостей ОС, фізичного середовища і від багатьох інших чинників. Тим більше, одна й та ж сама АС може реалiзовувати декілька різноманітних технологій обробки інформації. Тоді і політика безпеки інформації в такій АС буде складеною і її частини, що відповідають різним технологіям, можуть істотно відрізнятись.
Політика безпеки повинна визначати ресурси АС, що потребують захисту, зокрема установлювати категорії інформації, оброблюваної в АС. Мають бути сформульовані основні загрози для ОС, персоналу, інформації різних категорій і вимоги до захисту від цих загроз. Як складові частини загальної політики безпеки інформації в АС мають існувати політики забезпечення конфіденційності, цілісності і доступності оброблюваної інформації. Відповідальність персоналу за виконання положень політики безпеки має бути персонiфікована.
Політика безпеки інформації, що реалізуються різними КС будуть відрізнятися не тільки тим, що реалізовані в них функції захисту можуть забезпечувати захист від різних типів загроз, але і в зв'язку з тим, що ресурси КС можуть істотно відрізнятись. Так, якщо операційна система оперує файлами, то СУБД має справу із записами, розподіленими в різних файлах.
Частина політики безпеки, яка регламентує правила доступу користувачів і процесів до ресурсів КС, складає правила розмежування доступу.