Анализ технологий обработки информации

Содержание

Введение

1. Анализ технологий обработки информации

1.1 Электронные платежи

1.2 Аналитическое обеспечение мероприятий безопасности

1.2.1 Человеческий фактор в обеспечении информационной безопасности

1.2.2 Риски персонала

1.2.3 Анализ рисков

1.3 Категорирование информации по важности

1.4 План защиты

1.5 Положения о безопасности

2. Анализ угроз ТЗИ

2.1 Короткое описание возможной утечки информации каналами ПЭМВН

2.2 Защита информации которая циркулирует в системах звукоусиления

2.2.1 Защита информации при проведении звукозаписи

2.2.3 Защита речевой информации при ее передаче по каналам связи

3. Построение системы защиты информации

3.1 Определения и анализ угроз

3.2 Разработка системы защиты информации

3.3 Техническая защита банковских операций

3.3.1 Общие положения

3.3.2 Возможные угрозы банковским операциям

3.3.3 Типичные мероприятия и средства ТЗИ от утечки

3.3.4 Решение задач ТЗИ

3.3.5 Блокирование каналов утечки информации

3.3.6 Блокирование несанкционированного доступа

3.4 Нормативные документы с ТЗИ

3.4.1 Изучение государственных строительных норм Украины

3.4.2 Общие положения

3.4.3 Задание на проектирование мероприятий ТЗИ

3.4.4 Разработка проектной документации

3.4.5 Разработка проекта организации строительства

3.4.6 Экспертиза проектной документации

3.5 Реализация плана защиты информации

3.5.1 Общие положения

3.5.2 Организация проведения обследования

3.5.3 Организация разработки системы защиты информации

3.5.4 Реализация организационных мероприятий защиты

3.5.5 Реализация первичных технических мероприятий защиты

3.5.6 Реализация основных технических мероприятий защиты

3.6 Требования из защиты информации, обрабатываемой ЭВМ

3.6.1 Общие требования и рекомендации

3.6.2 Основные требования и рекомендации из защиты служебной тайны и персональных данных

3.6.3 Основные рекомендации из защиты информации

3.6.4 Порядок обеспечения защиты конфиденциальной информации при эксплуатации АСС

3.6.5 Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ

3.6.6 Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ

3.6.7 Защита информации в локальных вычислительных сетях

3.6.8 Защита информации при межсетевом взаимодействии

3.6.9 Защита информации при работе с системами управления базами данных

3.7 Требования из защиты информации помещаемой в негосударственных информационных ресурсах, при взаимодействии абонентов с информационными сетями общего пользования

3.7.1 Общие положения

3.7.2 Условия подключения абонентов к сети

3.7.3 Порядок подключения и взаимодействия абонентских пунктов с сетью, требования и рекомендации из обеспечение безопасности информации

4. Порядок контроля за состоянием технической защиты информации

4.1Таблица исходных данных для осуществления ТЗИ

4.2 Методы и содержание контроля за подготовительными техническими мероприятиями

5. Безопасность жизни и деятельности человека

Введение

5.1 Анализ условий труда

5.2 Техника безопасности

5.3 Производственная санитария

5.4 Пожарная профилактика в лаборатории

6. Экономическая часть

6.1 Общая характеристика программного продукта

6.2 Планирование выполнения работ и построение линейного графика выполнения НИР

6.3 Расчёт сметной стоимости научно-технической продукции

6.4 Оценка научно-технического и экономического уровня НИР

6.5 Выводы по оценке научно-технического и экономического уровня НИР

Выводы

Заключение

Перечень ссылок

Приложения

Список условных сокращений

FB - Flash-Bios

АКП - автоматизированные клиринговые палаты

АП - абонентский пункт

АРМ - автоматизированное рабочее место

АС - автоматизированные системы

АСС - автоматизированные системы связи

АСОИБ - автоматизированные системы обработки информации

БД - базы данных

ВОЛС - волоконно-оптических линий связи

ВТСС - вспомогательные технические средства и системы

ВЧ - высокочастотный

ГСН - государственные строительные нормы

ГМД - гибкие магнитные диски

ЗП - закрытые помещения

ИД - информационная деятельность

ИсОД - информация с ограниченным доступом

КД - конструкторская документация

КЗ - контролируемая зона

КТ - контролированная территория

ЛОС - локальная однородная сеть

МЭ - межсетевой экран

НД - нормативные документы

НСД - несанкционированный доступ

ОС - операционная система

ОТС - основные технические средства

ОЭД - основные элементы данных

ПВЧГ - паразитная высокочастотная генерация

ПЭВМ - персональная электронно-вычислительная машина

ПЭМИН - побочные электромагнитные излучения и наводки

ПЭУ - правила эксплуатации установок

СВТ - средства вычислительной техники

СУБД - системами управления базами данных

ТЗ - техническое задание

ТЗИ - техническая защита информации

ТКУИ - технический канал утечки информации

ТСПИ - технические системы передачи информации

ТУ - технические условия

ЭВМ - электронно-вычислительная машина

ЭВТ - электронная вычислительная техника

ЭД - элементы данных

Введение

 

Защита информации в современных условиях становится все более сложной проблемой, что обусловлено рядом обстоятельств, основными из которых являются: массовое распространение средств электронной вычислительной техники (ЭВТ); усложнение шифровальных технологий; необходимость защиты не только государственной и военной тайны, но и промышленной, коммерческой и финансовой тайн; расширяющиеся возможности несанкционированных действий над информацией.

Кроме того, в настоящее время получили широкое распространение средства и методы несанкционированного и негласного добывания информации. Они находят все большее применение не только в деятельности государственных правоохранительных органов, но и в деятельности разного рода преступных группировок.

Необходимо помнить, что естественные каналы утечки информации образуются спонтанно, в силу специфических обстоятельств, сложившихся на объекте защиты.

Что касается искусственных каналов утечки информации, то они создаются преднамеренно с применением активных методов и способов получения информации. Активные способы предполагают намеренное создание технического канала утечки информации с использованием специальных технических средств. К ним можно отнести незаконное подключение к каналам, проводам и линиям связи, высокочастотное навязывание и облучение, установка в технических средствах и помещениях микрофонов и телефонных закладных устройств, а также несанкционированный доступ к информации, обрабатываемой в автоматизированных системах (АС) и т.д. [10]

Поэтому особую роль и место в деятельности по защите информации занимают мероприятия по созданию комплексной защиты, учитывающие угрозы национальной и международной безопасности и стабильности.

Казалось бы, на первый взгляд, ничего нового в этом нет. Требуются лишь известные усилия соответствующих органов, сил и средств, а также их соответствующее обеспечение всем необходимым.

Вместе с тем, проблемных вопросов по защите информации множество, их решение зависит от объективных и субъективных факторов, в том числе и дефицит возможностей.

Таким образом, проблема зашиты информации и обеспечения конфиденциальности приобретает актуальность.

техническая защита информация

Электронные платежи

 

Суть концепции электронных платежей заключается в том, что пересылаемые по линиям связи сообщения, должным образом оформленные и переданные, являются основанием для выполнения одной или нескольких банковских операций. Никаких бумажных документов для выполнения этих операций в принципе не требуется (хотя они могут быть выданы). Другими словами, пересылаемое по линиям связи сообщение несет информацию о том, что отправитель выполнил некоторые операции над своим счетом, в частности над корреспондентским счетом банка-получателя (в роли которого может выступать клиринговый центр), и что получатель должен выполнить определенные в сообщении операции. На основании такого сообщения можно переслать или получить деньги, открыть кредит, оплатить покупку или услугу и выполнить любую другую банковскую операцию. Такие сообщения называются электронными деньгами, а выполнение банковских операций на основании посылки или получения таких сообщений - электронными платежами. Естественно, весь процесс осуществления электронных платежей нуждается в надежной защите. Иначе банк и его клиентов ожидают серьезные неприятности [1].

Электронные платежи применяются при межбанковских, торговых и персональных расчетах.

Межбанковские и торговые расчеты производятся между организациями (юридическими лицами), поэтому их иногда называют корпоративными. Расчеты с участием физических лиц-клиентов получили название персональных.

Большинство крупных хищений в банковских системах прямо или косвенно связано именно с системами электронных платежей.

На пути создания систем электронных платежей, особенно глобальных, охватывающих большое число финансовых институтов и их клиентов в различных странах, встречается множество препятствий. Основными из них являются:

. Отсутствие единых стандартов на операции и услуги, что существенно затрудняет создание объединенных банковских систем. Каждый крупный банк стремится создать свою сеть ОЭД, что увеличивает расходы на ее эксплуатацию и содержание. Дублирующие друг друга системы затрудняют пользование ими, создавая взаимные помехи и ограничивая возможности клиентов.

. Возрастание мобильности денежных масс, что ведет к увеличению возможности финансовых спекуляций, расширяет потоки "блуждающих капиталов". Эти деньги способны за короткое время менять ситуацию на рынке, дестабилизировать ее.

. Сбои и отказы технических и ошибки программных средств при осуществлении финансовых расчетов, что может привести к серьезным осложнениям для дальнейших расчетов и потере доверия к банку со стороны клиентов, особенно в силу тесного переплетения банковских связей (своего рода "размножение ошибки"). При этом существенно возрастает роль и ответственность операторов и администрации системы, которые непосредственно управляют обработкой информации.

Любая организация, которая хочет стать клиентом какой-либо системы электронных платежей, либо организовать собственную систему, должна отдавать себе в этом отчет.

Для надежной работы система электронных платежей должна быть хорошо защищена.

Торговые расчеты производятся между различными торговыми организациями. Банки в этих расчетах участвуют как посредники при перечислении денег со счета организации-плательщика на счет организации-получателя.

Торговые расчеты чрезвычайно важны для общего успеха программы электронных платежей. Объем финансовых операций различных компаний обычно составляет значительную часть общего объема операций банка.

Виды торговых расчетов сильно различаются для разных организаций, но всегда при их осуществлении обрабатывается два типа информации: платежных сообщений и вспомогательная (статистика, сводки, уведомления). Для финансовых организаций наибольший интерес представляет, конечно, информация платежных сообщений - номера счетов, суммы, баланс и т.д. Для торговых организаций оба вида сведений одинаково важны - первый дает ключ к финансовому состоянию, второй - помогает при принятии решений и выработке политики.

Чаще всего распространены торговые расчеты следующих двух видов: [16]

Прямой депозит (direct deposit).

Смысл этого вида расчетов заключается в том, что организация поручает банку осуществлять некоторые виды платежей своих служащих или клиентов автоматически, с помощью заранее подготовленных магнитных носителей или специальных сообщений. Условия осуществления таких расчетов оговариваются заранее (источник финансирования, сумма и т.д.). Они используются в основном для регулярных платежей (выплаты различного рода страховок, погашение кредитов, зарплата и т.д.). В организационном плане прямой депозит более удобен, чем, например, платежи с помощью чеков.

С 1989 г. число служащих, использующих прямой депозит, удвоилось и составило 25% от общего количества. Более 7 млн. американцев получают сегодня заработную плату в виде прямого депозита. Банкам прямой депозит сулит следующие выгоды:

уменьшение объема задач, связанных с обработкой бумажных документов и, как следствие, экономия значительных сумм;

увеличение числа депозитов, так как 100% объема платежей должны быть внесены на депозит.

Кроме банков в выигрыше остаются и хозяева, и работники; повышаются удобства и уменьшаются затраты.

Расчеты при помощи ОЭД.

В качестве данных здесь выступают накладные, фактуры, комплектующие ведомости и т.д.

Для осуществления ОЭД необходима реализация следующего набора основных услуг:

электронная почта по стандарту Х.400;

передача файлов;

связь "точка-точка";

доступ к базам данных в режиме on-line;

почтовый ящик;

преобразование стандартов представления информации.

Примерами существующих в настоящее время систем торговых расчетов с использованием ОЭД могут служить:

National Bank и Royal Bank (Канада) связаны со своими клиентами и партнерами с помощью IBM Information Network;

Bank of Scotland Transcontinental Automated Payment Service (TAPS), основанная в 1986 г., связывает Bank of Scotland с клиентами и партнерами в 15 странах с помощью корреспондентских банков и автоматизированных клиринговых палат [1].

Электронные межбанковские расчеты бывают в основном двух видов:

Клиринговые расчеты с использованием мощной вычислительной системы банка-посредника (клирингового банка) и корреспондентских счетов банков-участников расчетов в этом банке. Система основана на зачете взаимных денежных требований и обязательств юридических лиц с последующим переводом сальдо. Клиринг также широко используется на фондовых и товарных биржах, где зачет взаимных требований участников сделок проводится через клиринговую палату или особую электронную клиринговую систему.

Межбанковские клиринговые расчеты осуществляются через специальные клиринговые палаты, коммерческие банки, между отделениями и филиалами одного банка - через головную контору. В ряде стран функции клиринговых палат выполняют центральные банки. Автоматизированные клиринговые палаты (АКП) предоставляют услуги по обмену средствами между финансовыми учреждениями. Платежные операции в основном сводятся либо к дебютированию, либо к кредитованию. Членами системы АКП являются финансовые учреждения, которые состоят в ассоциации АКП. Ассоциация образуется для того, чтобы разрабатывать правила, процедуры и стандарты выполнения электронных платежей в пределах географического региона. Необходимо отметить, что АКП не что иное, как механизм для перемещения денежных средств и сопроводительной информации. Сами по себе они не выполняют платежных услуг. АКП были созданы в дополнение к системам обработки бумажных финансовых документов. Первая АКП появилась в Калифорнии в 1972 г., в настоящее время в США функционируют 48 АКП. В 1978 г. была создана Национальная Ассоциация АКП (National Automated Clearing House Association; NACHA), объединяющая все 48 сети АКП на кооперативных началах [1].

Объем и характер операций постоянно расширяются. АКП начинают выполнять деловые расчеты и операции обмена электронными данными. После трехлетних усилий различных банков и компаний была создана система СТР (Corporate Trade Payment), предназначенная для автоматизированной обработки кредитов и дебетов. По мнению специалистов в ближайшее время тенденция расширения функций АКП будет сохраняться.

Прямые расчеты, при которых два банка осуществляют связь непосредственно между собой с помощью счетов "лоро-ностро", возможно, при участии третьего лица, играющего организационную или вспомогательную роль. Естественно, объем взаимных операций должен быть достаточно велик для оправдания затрат на организацию такой системы расчетов. Обычно такая система объединяет несколько банков, при этом каждая пара может связываться непосредственно между собой, минуя посредников. Однако в этом случае возникает необходимость управляющего центра, занимающегося защитой взаимодействующих банков (рассылкой ключей, управлением, контролем функционирования и регистрацией событий).

В мире существует достаточно много таких систем - от небольших, связывающих несколько банков или филиалов, до гигантских международных, связывающих тысячи участников. Наиболее известной системой этого класса является SWIFT.

В последнее время появился третий вид электронных платежей - обработка электронных чеков (electronic check truncation), суть которого состоит в прекращении пути пересылки бумажного чека в финансовой организации, в которой он был предъявлен. В случае необходимости дальше "путешествует" его электронный аналог в виде специального сообщения. Пересылка и погашение электронного чека осуществляются с помощью АКП [1].

В 1990 г. NACHA анонсировала первый этап тестирования национальной экспериментальной программы "Electronic Check Truncation". Ее целью является сокращение расходов на обработку огромного количества бумажных чеков.

Пересылка денег с помощью системы электронных платежей включает следующие этапы (в зависимости от конкретных условий и самой системы порядок может меняться):

. Определенный счет в системе первого банка уменьшается на требуемую сумму.

. Корреспондентский счет второго банка в первом увеличивается на ту же сумму.

. От первого банка второму посылается сообщение, содержащее информацию о выполняемых действиях (идентификаторы счетов, сумма, дата, условия и т.д.); при этом пересылаемое сообщение должно быть соответствующим образом защищено от подделки: зашифровано, снабжено цифровой подписью и контрольными полями и т.д.

. С корреспондентского счета первого банка во втором списывается требуемая сумма.

. Определенный счет во втором банке увеличивается на требуемую сумму.

. Второй банк посылает первому уведомление о произведенных корректировках счета; это сообщение также должно быть защищено от подделки способом, аналогичным защите платежного сообщения.

. Протокол обмена фиксируется у обоих абонентов и, возможно, у третьего лица (в центре управления сетью) для предотвращения конфликтов.

На пути передачи сообщений могут быть посредники - клиринговые центры, банки-посредники в передаче информации и т.п. Основная сложность таких расчетов - уверенность в своем партнере, то есть каждый из абонентов должен быть уверен, что его корреспондент выполнит все необходимые действия.

Для расширения применения электронных платежей проводится стандартизация электронного представления финансовых документов. Она была начата в 70-х годах в рамках двух организаций [1]:

) ANSI (American National Standart Institute) опубликовал документ ANSI X9.2-1080, (Interchange Message Specification for Debit and Credit Card Message Exchange Among Financial Institute, Спецификация обменных сообщений для дебетных и кредитных карточек обмена между финансовыми организациями). В 1988 аналогичный стандарт был принят ISO и получил название ISO 8583 (Bank Card Originated Messages Interchange Message Specifications - Content for Financial Transactions);

) SWIFT (Society for Worldwide Interbank Financial Telecommunications) разработало серию стандартов межбанковских сообщений.

В соответствии со стандартом ISO 8583 финансовый документ содержит ряд элементов данных (реквизитов), расположенных в определенных полях сообщения или электронного документа (электронной кредитной карточки, сообщения в формате Х.400 или документа в синтаксисе EDIFACT). Каждому элементу данных (ЭД) назначается свой уникальный номер. Элемент данных может быть как обязательным (то есть входить в каждое сообщение данного вида), так и необязательным (в некоторых сообщениях может отсутствовать).

Битовая шкала определяет состав сообщения (те ЭД, которые в нем присутствуют). Если некоторый разряд битовой шкалы установлен в единицу, это означает, что соответствующий ЭД присутствует в сообщении. Благодаря такому методу кодирования сообщений уменьшается общая длина сообщения, достигается гибкость в представлении сообщений со многими ЭД, обеспечивается возможность включения новых ЭД и типов сообщений в электронный документ стандартной структуры [5].

Существует несколько способов электронных межбанковских платежей. Рассмотрим два из них: оплата чеком (оплата после услуги) и оплата аккредитивом (оплата ожидаемой услуги). Другие способы, как например оплата с помощью платежных требований или платежных поручений, имеют сходную организацию.

Оплата чеком основана на бумажном или другом документе, содержащим идентификацию подателя. Этот документ является основанием для перевода определенной в чеке суммы со счета владельца на счет подателя. Платеж чеком включает следующие этапы:

получение чека;

представление чека в банк;

запрос о переводе со счета владельца чека на счет подателя;

перевод денег;

уведомление о платеже.

Основными недостатками таких платежей являются необходимость существования вспомогательного документа (чека), который легко подделать, а также значительные затраты времени на выполнение платежа (до нескольких дней).

Поэтому в последнее время более распространен такой вид платежей как оплата аккредитивом. Он включает следующие этапы:

уведомление банка клиентом о предоставлении кредита;

уведомление банка получателя о предоставлении кредита и перевод денег;

уведомление получателя о получении кредита.

Такая система позволяет осуществлять платежи в очень короткие сроки. Уведомление о предоставлении кредита можно направлять по (электронной) почте, на дискетах, магнитных лентах.

Каждый из рассмотренных выше видов платежей имеет свои преимущества и свои недостатки. Чеки наиболее удобны при оплате незначительных сумм, а также при нерегулярных платежах. В этих случаях задержка платежа не очень существенна, а использование кредита нецелесообразно. Расчеты с помощью аккредитива обычно используются при регулярной оплате и для значительных сумм. В этих случаях отсутствие клиринговой задержки позволяет экономить много времени и средств за счет уменьшения периода оборота денег. Общим недостатком этих двух способов является необходимость затрат на организацию надежной системы электронных платежей [1].

 

Риски персонала

Ниже приводится примерный список персонала типичной АСОИБ и соответствующая степень риска от каждого из них [11].

. Наибольший риск:

системный контролер;

администратор безопасности.

. Повышенный риск:

оператор системы;

оператор ввода и подготовки данных;

менеджер обработки;

системный программист.

. Средний риск:

инженер системы;

менеджер программного обеспечения.

. Ограниченный риск:

прикладной программист;

инженер или оператор по связи;

администратор баз данных;

инженер по оборудованию;

оператор периферийного оборудования;

библиотекарь системных магнитных носителей;

пользователь-программист;

пользователь-операционист.

. Низкий риск:

инженер по периферийному оборудованию;

библиотекарь магнитных носителей пользователей;

пользователь сети.

Каждый из перечисленных выше пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб системе. Однако пользователи различных категорий различаются не только по степени риска, но и по тому, какому элементу системы они угрожают больше всего. Понятно, что операционист вряд ли сможет вывести из строя АСОИБ, но зато способен послать платеж не по адресу и нанести серьезный финансовый ущерб.

 

Анализ рисков

Анализ риска состоит из следующих основных этапов.

Этап 1. Описание состава системы:

аппаратные средства;

программное обеспечение;

данные;

документация;

персонал.

Этап 2. Определение уязвимых мест: выясняется уязвимость по каждому элементу системы с оценкой возможных источников угроз.

Этап 3. Оценка вероятностей реализации угроз.

Этап 4. Оценка ожидаемых размеров потерь.

Этот этап сложен, поскольку не всегда возможна количественная оценка данного показателя (например, ущерба репутации банка при нарушении конфиденциальности информации о счетах и операциях клиентов).

Этап 5. Анализ возможных методов и средств защиты.

Этап 6. Оценка выигрыша от предлагаемых мер. Если ожидаемые потери больше допустимого уровня, необходимо усилить меры защиты.

 

План защиты

 

Анализ риска завершается принятием политики безопасности и составлением плана защиты со следующими разделами:

. Текущее состояние. Описание статуса системы защиты в момент подготовки плана.

. Рекомендации. Выбор основных средств защиты, реализующих политику безопасности.

. Ответственность. Список ответственных сотрудников и зон ответственности.

. Расписание. Определение порядка работы механизмов защиты, в том числе и средств контроля.

. Пересмотр положений плана, которые должны периодически пересматриваться.

Ключевым вопросом начального этапа создания системы безопасности является назначение ответственных за безопасность системы и разграничение сфер их деятельности. Как правило, при начальной постановке таких вопросов выясняется, что за этот аспект безопасности организации никто отвечать не хочет. Системные программисты и администраторы систем склонны относить эту задачу к компетенции общей службы безопасности, тогда как последняя, в свою очередь, считает, что подобная проблема должна находиться в компетенции специалистов по компьютерам.

 

Положения о безопасности

 

При решении вопросов распределения ответственности за безопасность компьютерной системы необходимо учитывать следующие положения [7]:

. никто, кроме руководства, не может принять основополагающих решений в области политики компьютерной безопасности;

. никто, кроме специалистов, не сможет обеспечить правильное функционирование системы безопасности;

. никакая внешняя организация или группа специалистов жизненно не заинтересованы в экономической эффективности мер безопасности.

К области стратегических решений при создании системы компьютерной безопасности должна быть отнесена разработка общих требований к классификации данных, хранимых и обрабатываемых компьютерной системой. Во многих случаях существует путаница между понятиями конфиденциальности (секретности) и важности информации.

Анализ угроз ТЗИ

 

Определения и анализ угроз

 

На первом этапе необходимо осуществить анализ объектов защиты, ситуационного плана, условий функционирования предприятия, учреждения, организации, оценить вероятность проявления угроз и ожидаемый вред от их реализации, подготовить засадные данные для построения отдельной модели угроз.

Источниками угроз может быть деятельность иностранных разысканий, а также намеренные или неумышленные действия юридических и физических лиц.

Угрозы могут осуществляться:

техническими каналами, которые включают каналы побочных электромагнитных излучений и наводок, акустические, оптические, радио-, радиотехнические, химические и прочие каналы;

каналами специального влияния путем формирования полей и сигналов с целью разрушения системы защиты или нарушения целостности информации;

несанкционированным доступом путем подключения к аппаратуру и линий связи, маскировка под зарегистрированного пользователя, преодоления мероприятий защиты для использования информации или навязывания ошибочной информации, применения подкладных устройств или программ и укоренение компьютерных вирусов.

Описание угроз и схематическое представление путей их осуществления составляют отдельную модель угроз.

 

Общие положения

Распространенное использование, информационных, телекоммуникационных систем в государственных ведомствах Украины и в предприятиях всех форм имущества в условиях тяжелых межгосударственных отношений требует проводить мероприятия по обеспечению защиты информации.

Одной из составляющих информационной безопасности есть техническая зашита информации. Государственные стандарты Украины определяют техническую защиту информации (ТЗИ), как деятельность направленную на предотвращение утечки информации техническими каналами, ее блокирования или нарушение целостности.

 

Решение задач ТЗИ

Оперативное решение задач ТЗИ достигается организацией управления системою защиты информации, для чего необходимы:

изучить и проанализировать технологию прохождения ИсОД;

-   оценить наклонность ИсОД к влиянию угроз в конкретный момент времени;

    оценивать ожидаемую эффективность применения средств обеспечения ТЗИ;

    определить дополнительную потребность в средствах обеспечения ТЗИ;

    разрабатывать и реализовывать пропозиции к корректировки плана ТЗИ в целом или отдельных его элементов.

В процессе реализации первичных технических мероприятий нужно обеспечить:

-   блокировку каналов утечки информации;

-   блокировку несанкционированного доступа к информации или ее носителей;

    проверку работоспособности технических средств обеспечения ИД.

 

Содержание

Введение

1. Анализ технологий обработки информации

1.1 Электронные платежи

1.2 Аналитическое обеспечение мероприятий безопасности

1.2.1 Человеческий фактор в обеспечении информационной безопасности

1.2.2 Риски персонала

1.2.3 Анализ рисков

1.3 Категорирование информации по важности

1.4 План защиты

1.5 Положения о безопасности

2. Анализ угроз ТЗИ

2.1 Короткое описание возможной утечки информации каналами ПЭМВН

2.2 Защита информации которая циркулирует в системах звукоусиления

2.2.1 Защита информации при проведении звукозаписи

2.2.3 Защита речевой информации при ее передаче по каналам связи

3. Построение системы защиты информации

3.1 Определения и анализ угроз

3.2 Разработка системы защиты информации

3.3 Техническая защита банковских операций

3.3.1 Общие положения

3.3.2 Возможные угрозы банковским операциям

3.3.3 Типичные мероприятия и средства ТЗИ от утечки

3.3.4 Решение задач ТЗИ

3.3.5 Блокирование каналов утечки информации

3.3.6 Блокирование несанкционированного доступа

3.4 Нормативные документы с ТЗИ

3.4.1 Изучение государственных строительных норм Украины

3.4.2 Общие положения

3.4.3 Задание на проектирование мероприятий ТЗИ

3.4.4 Разработка проектной документации

3.4.5 Разработка проекта организации строительства

3.4.6 Экспертиза проектной документации

3.5 Реализация плана защиты информации

3.5.1 Общие положения

3.5.2 Организация проведения обследования

3.5.3 Организация разработки системы защиты информации

3.5.4 Реализация организационных мероприятий защиты

3.5.5 Реализация первичных технических мероприятий защиты

3.5.6 Реализация основных технических мероприятий защиты

3.6 Требования из защиты информации, обрабатываемой ЭВМ

3.6.1 Общие требования и рекомендации

3.6.2 Основные требования и рекомендации из защиты служебной тайны и персональных данных

3.6.3 Основные рекомендации из защиты информации

3.6.4 Порядок обеспечения защиты конфиденциальной информации при эксплуатации АСС

3.6.5 Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ

3.6.6 Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ

3.6.7 Защита информации в локальных вычислительных сетях

3.6.8 Защита информации при межсетевом взаимодействии

3.6.9 Защита информации при работе с системами управления базами данных

3.7 Требования из защиты информации помещаемой в негосударственных информационных ресурсах, при взаимодействии абонентов с информационными сетями общего пользования

3.7.1 Общие положения

3.7.2 Условия подключения абонентов к сети

3.7.3 Порядок подключения и взаимодействия абонентских пунктов с сетью, требования и рекомендации из обеспечение безопасности информации

4. Порядок контроля за состоянием технической защиты информации

4.1Таблица исходных данных для осуществления ТЗИ

4.2 Методы и содержание контроля за подготовительными техническими мероприятиями

5. Безопасность жизни и деятельности человека

Введение

5.1 Анализ условий труда

5.2 Техника безопасности

5.3 Производственная санитария

5.4 Пожарная профилактика в лаборатории

6. Экономическая часть

6.1 Общая характеристика программного продукта

6.2 Планирование выполнения работ и построение линейного графика выполнения НИР

6.3 Расчёт сметной стоимости научно-технической продукции

6.4 Оценка научно-технического и экономического уровня НИР

6.5 Выводы по оценке научно-технического и экономического уровня НИР

Выводы

Заключение

Перечень ссылок

Приложения

Список условных сокращений

FB - Flash-Bios

АКП - автоматизированные клиринговые палаты

АП - абонентский пункт

АРМ - автоматизированное рабочее место

АС - автоматизированные системы

АСС - автоматизированные системы связи

АСОИБ - автоматизированные системы обработки информации

БД - базы данных

ВОЛС - волоконно-оптических линий связи

ВТСС - вспомогательные технические средства и системы

ВЧ - высокочастотный

ГСН - государственные строительные нормы

ГМД - гибкие магнитные диски

ЗП - закрытые помещения

ИД - информационная деятельность

ИсОД - информация с ограниченным доступом

КД - конструкторская документация

КЗ - контролируемая зона

КТ - контролированная территория

ЛОС - локальная однородная сеть

МЭ - межсетевой экран

НД - нормативные документы

НСД - несанкционированный доступ

ОС - операционная система

ОТС - основные технические средства

ОЭД - основные элементы данных

ПВЧГ - паразитная высокочастотная генерация

ПЭВМ - персональная электронно-вычислительная машина

ПЭМИН - побочные электромагнитные излучения и наводки

ПЭУ - правила эксплуатации установок

СВТ - средства вычислительной техники

СУБД - системами управления базами данных

ТЗ - техническое задание

ТЗИ - техническая защита информации

ТКУИ - технический канал утечки информации

ТСПИ - технические системы передачи информации

ТУ - технические условия

ЭВМ - электронно-вычислительная машина

ЭВТ - электро