Опис лабораторії приладів для високоточних вимірювань

Завдання

При аналізі загроз усі перераховані в таблиці варіанти об’єктів захисту уявно будемо розміщувати в приміщеннях, що розташовуються на визначеній території, що охороняється. Плани приміщень та території, що охороняється, погоджуються з керівником курсової роботи.

№ п/п	Назва об’єкту (виділеного приміщення)	Перелік ОТЗ, які знаходяться в приміщенні	Перелік ТЗПІ, які не є основними	Перелік ДТЗС	Інформація, яка підлягає захисту
	Лабораторія приладів для високоточних вимірювань	Чотири персональні комп’ютери з’єднані в локальну мережу (з виходом в Інтернет), спеціальні вимірювальні прилади, комплекс випробування приладів, принтер, сигнальні лінії локальної мережі Ethernet, переговорний пристрій	Проводовий телефон та радіотелефон, вимірювальні прилади, сканер, відеомагнітофон,	кабелі телефонного зв’язку, лінії мережі електроживленя, пристрій для знищення паперу, мікрохвильова піч, кондиціонер, лінії пожежної сигналізації	Інформація стосовно досліджень, які проводяться в лабораторії, частина з якої є інформацією для службового користування та державною таємницею

Примітка 1. В усіх перерахованих виділених приміщеннях відбуваються конфіденційні розмови та переговори.

Примітка 2. Всі перераховані підприємства знаходяться на відстані більше 200 м. від представництв іноземних держав.

Розділ 1

Опис лабораторії приладів для високоточних вимірювань

Опис контрольованої території об’єкта захисту

Територія, на якій розташована лабораторія приладів для високоточних вимірювань розташована на околиці міста Львів. Контрольована територія огороджена цегляним парканом, висота якого складає 2.5 м, а ширина 0.4 м. В’їзні ворота виготовлені з металу, їх висота складає 2,75 м. На контрольовану територію лабораторії можна потрапити лише через контрольно-пропускний пункт, в якому охоронець записує всіх працівників в журнал відвідування.

На контрольованій території об’єкта захисту (рис. 1) знаходяться:

· будівля лабораторії;

Рис. 1. План контрольованої території об’єкта захисту.

· трансформаторна підстанція, живлення на яку подається з вуличної лінії електропередач під землею;

· люк водопостачання та каналізаційний люк, підключені до вуличної системи водопостачання та каналізації;

· автостоянка, призначена для автомобілів працівників;

· приміщення КПП.

Периметр контрольованої території освітлюється за допомогою прожекторів, що встановлені на кутах будівлі лабораторії та КПП, що дає змогу контролювати територію в нічну пору доби (рис. 1).

Приміщення лабораторії приладів для високоточних вимірювань є одноповерховою спорудою. Найменша відстань будівлі від паркана становить 4 м. Стіни даного приміщення побудовані з цегли: товщина зовнішніх стін 0.4 м, а внутрішніх – 0.2 м. Всі встановлені двері в будівлі є надійними: вхідні двері, виготовлені з металу, є броньованими, доступ до завіс є закритим, а двері всередині будівлі є дерев’яними. Всі двері замикаються на ключ або кодовий замок. На вікнах стоять надійно закріплені в стіні ґрати. На стінах розміщені камери відеоспостереження, які проводять запис (рис 1). Ці фактори унеможливлюють проникнення в будівлю зловмисників ззовні.

Отож, здійснені всі можливі заходи та використані всі необхідні засоби для того щоб не допустити протиправне проникнення на територію лабораторії.

 

Опис функцій, які виконує об’єкт захисту

Основними функціями лабораторії є:

· розроблення, виготовлення і ремонт засобів вимірювальної техніки;

· випробування якісних показників продукції та безпеки з метою оцінки їх відповідності вимогам нормативної документації.

· забезпечення єдності вимірювань та підвищення рівня метрологічного забезпечення науково-технічної продукції лабораторії;

· проведення робіт з метрологічного забезпечення підготовки до виробництва експериментальних і дослідних зразків науково-технічної продукції;

· визначення основних напрямів розвитку метрологічного забезпечення експериментальних методів наукових досліджень, виготовлення і випробування науково-технічної продукції, стандартних зразків складу та властивостей речовин і матеріалів, стандартних довідкових даних;

· участь у підготовці засобів вимірювальної техніки та випробувального обладнання для робіт з підтвердження відповідності продукції;

 

Інформаційні активи

Інформаційним активом об’єкту захисту є:

· інформація про проекти, які проводяться в лабораторії, яка знаходиться в електронному вигляді на жорстких дисках комп’ютерів і дискетах, які зберігаються у шафах, у кімнатах №5 та №6, та в паперовому вигляді у шафах кімнат №4, №5, №6 (рис. 2);

· інформація про технологію виготовлення та тестування приладів для високоточних вимірювань, яка знаходиться в електронному вигляді на жорсткому диску комп’ютера в кімнаті №5 та в шафах кімнат №4 та №5 на паперових носіях (рис. 2);

· персональна інформація працівників лабораторії;

· носії, на яких зберігається ця інформація.

Інформація стосовно досліджень, які проводяться в лабораторії, частина з якої є інформацією для службового користування та державною таємницею.

Опис систем життєзабезпечення об’єкта захисту

Система електропостачання

До трансформаторної підстанції, яка знаходиться на контрольованій території електроенергія підводиться з вулиці від ліній електропередач під землею (рис. 3.). В нашій трансформаторній підстанції електроенергія стабілізується до параметрів, які потрібні для живлення електрообладнання, що знаходиться в приміщеннях та на контрольованій території. Потім електроенергія поступає від трансформаторної розподільчої коробки до розподільчої коробки (щитка), що розташований в кімнаті 5 в металевій шафі (рис. 3). Для відведення небезпечних струмів, які можуть виникнути, наприклад, внаслідок короткого замикання, щиток має заземлення. Всі електропроводи в будівлі та зовні приміщення нові, виготовлені з якісних матеріалів і проходять у спеціально обладнаних коробах. Від щитка, який розміщений в кімнаті 5 електроенергія розводиться по кімнатах до розеток, які мають заземлення, вимикачів, ламп та допоміжних освітлювальних засобів, що знаходяться на території об’єкта захисту.

Рис. 3. Система електропостачання

Розділ 2

Методика ранжування загроз

Усі уразливості мають різну міру небезпеки , яку можна кількісно оцінити на основі ранжирування. При цьому критеріями порівняння (показниками) можна вибрати:

1) фатальність ,що визначає міру впливу уразливості на непереборність наслідків реалізації загрози; для об'єктивних уразливостей — це міра інформативності, тобто здатність уразливості повністю (без спотворення) передати корисний інформаційний сигнал; для суб’єктивних вразливостей – це міра професіоналізму персоналу, тобто здатність вразливості реалізуватися через дії працівників; для випадкових вразливостей – це міра особливості обстановки навколишнього середовища.

2) доступність , що визначає зручність (можливість) використання уразливості джерелом загроз (масогабаритні розміри, складність, вартість необхідних засобів, можливість використання неспеціалізованої апаратури);

3) кількість , що визначає кількість елементів об'єкта, яким характерна та чи інша уразливість.

Коефіцієнт (K_dan)_f для окремої уразливості можна визначити як відношення добутку наведених вище показників до максимального значення 125:

Кожний показник оцінюється експертно-аналітичним методом за п'ятибальною системою, причому 1 відповідає мінімальній мірі впливу оцінюваного показника на небезпеку використання уразливості, а 5 — максимальній.

Міра інформативності визначається за шкалою:

· через вразливість неможливо передати корисний інформаційний сигнал - 1

· через вразливість можна передати корисний інформаційний сигнал зі значними завадами та спотворенням, втрата якого несе за собою незначні витрати коштів та часу на його відновлення - 2

· через вразливість можна передати корисний інформаційний сигнал з невеликими завадами та спотвореннями, втрата якого несе за собою незначні витрати часу але порівняно значні кошти на його відновлення - 3

· через вразливість можна передати корисний інформаційний сигнал практично без завад та спотворення, втрата якого несе за собою значні витрати часу та коштів на його відновлення - 4

· через вразливість передається вся необхідна інформація без будь-яких завад та спотворення, витік якої несе за собою непоправні збитки організації – 5

 

Міра професіоналізму персоналу визначається за шкалою:

· рівень підготовки працівника високий – 1

· рівень підготовки працівника вище середнього, він майже не припускається помилок(одинокі випадки), його дії несуть за собою мінімальні збитки – 2

· рівень підготовки працівника середній, він рідко припускається помилок, його дії несуть за собою відчутні збитки – 3

· рівень підготовки працівника низький, він часто припускається помилок, його дії несуть за собою значні збитки – 4

· працівник не має ніякого рівня підготовки, завжди припускається помилок, його дії несуть за собою непереборні збитки – 5

 

Міру особливості обстановки можна оцінювати за наступною шкалою

· вразливість не реалізується при дії природних катаклізмів - 1;

· небезпечні умови — об'єкт захисту розташований у зоні, в якій багаторічні спостереження показують можливість прояву природних катаклізмів;

· помірно небезпечні умови — об'єкт захисту розташований у зоні, в якій за проведеними спостереженнями протягом тривалого періоду відсутні прояви природних катаклізмів, але існують передумови виникнення стихійних джерел загроз на самому об'єкті;

· слабо небезпечні умови — об'єкт захисту розташований поза межами зони дії природних катаклізмів, і на об'єкті існують передумови виникнення стихійних джерел загроз;

· безпечні умови — об'єкт захисту розташований поза межами зони дії природних катаклізмів, і на об'єкті відсутні передумови виникнення стихійних джерел загроз.

 

Міра кількості визначається за наступною шкалою:

· немає елементів об’єкта захисту, яким характерна та чи інша вразливість - 1

· мінімальна кількість елементів об’єкта захисту, яким характерна та чи інша вразливість - 2

· незначна кількість елементів об’єкта захисту, яким характерна та чи інша вразливість – 3 значна кількість елементів об’єкта захисту, яким характерна та чи інша вразливість – 4

· та чи інша вразливість характерна для всіх елементів об’єкта захисту - 5

 

Аналіз загроз

Розділ 3

Обгрунтування вибору політики безпеки

Політика інформаційної безпеки – це сукупність програмних, апаратних, організаційних, адміністративних, юридичних, фізичних заходів, методів, засобів, правил і інструкцій, які чітко регламентують усі аспекти діяльності підприємства, включаючи інформаційну систему, та забезпечують їх безпеку.

Метою політики безпеки є впровадження та ефективне управління системою забезпечення інформаційної безпеки, спрямованої на захист інформаційних активів(інформація та дані у будь-якому вигляді, що отримуються, зберігаються, обробляються, передаються, оголошуються, у т.ч. знання співробітників, бази даних та файли, документація.

Політика безпеки розповсюджується на всі аспекти життєдіяльності лабораторії приладів для високоточних вимірювань та застосовується до всіх активів, які можуть справляти матеріальний ефект на кінцевий продукт своєю відсутністю чи псуванням.

На об’єкті захисту я буду використовувати дискреційну політику безпеки (зовнішню) та рольову політику безпеки (внутрішню).

Дискреційна політика безпеки

Основою дискреційної політики безпекиє дискреційне управління доступом, яке визначається двома властивостями:

- усі суб'єкти й об'єкти мають бути однозначно ідентифіковані;

- права доступу суб'єкта до об'єкта системи визначаються на основі певних зовнішніх відносно системи правил.

Кожний суб'єкт при входженні на територію лабораторії повинен мати певний набір атрибутів доступу, який включає iдентифікатор та іншу інформацію, що визначає його права доступу.

Такий вибір політики безпеки буде унеможливлювати проникнення на територію контрольованої зони посторонніх осіб, в тому числі і зловмисників.

Внутрішня

Рольова політика безпеки

Керування доступом у ній здійснюється як на основі матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувачам та їх активацію під час сеансів.

Область дії – в межах інформаційної системи та при виконанні певних службових обов’язків персоналу.

Розробляються і затверджуються на рівні керівництва організації правила політики безпеки.

Політика регламентує управління доступами та паролями, чітке розподілення ролей та обов’язків, визначення вимог безпеки для кожного активу, впровадження політики в інформаційні системи, підтримку рівня безпеки на належному рівні, проведення контролю безпеки інформаційних систем, управління інцидентами, класифікацію та забезпечення конфіденційності інформації, антивірусний захист, ліцензійну чистоту, вхідний/вихідний контроль комп’ютерної техніки, забезпечення фізичної безпеки, контроль виконання вимог політики безпеки та інших аспектів інформаційної безпеки.

Вибір політики безпеки зроблено з метою протидії множині за­гроз інформаційній безпеці організації із урахуванням цінності інформацій­ної сфери, що підлягає захисту та вартості системи забезпечення інформа­ційної безпеки.

При виборі політики безпеки було вибрано дві політики безпеки:зовнішня – дискреційна політика безпеки, внутрішня – рольова політика безпеки, за допомогою яких керівництво організації одер­жує цілісну картину одного з найбільш складних об'єктів — інформаційної системи, що позитивно впливає на якість керування бізнесом у цілому, і, як наслідок, покращує його прибутковість і ефективність.

 

 

Завдання

При аналізі загроз усі перераховані в таблиці варіанти об’єктів захисту уявно будемо розміщувати в приміщеннях, що розташовуються на визначеній території, що охороняється. Плани приміщень та території, що охороняється, погоджуються з керівником курсової роботи.

№ п/п	Назва об’єкту (виділеного приміщення)	Перелік ОТЗ, які знаходяться в приміщенні	Перелік ТЗПІ, які не є основними	Перелік ДТЗС	Інформація, яка підлягає захисту
	Лабораторія приладів для високоточних вимірювань	Чотири персональні комп’ютери з’єднані в локальну мережу (з виходом в Інтернет), спеціальні вимірювальні прилади, комплекс випробування приладів, принтер, сигнальні лінії локальної мережі Ethernet, переговорний пристрій	Проводовий телефон та радіотелефон, вимірювальні прилади, сканер, відеомагнітофон,	кабелі телефонного зв’язку, лінії мережі електроживленя, пристрій для знищення паперу, мікрохвильова піч, кондиціонер, лінії пожежної сигналізації	Інформація стосовно досліджень, які проводяться в лабораторії, частина з якої є інформацією для службового користування та державною таємницею

Примітка 1. В усіх перерахованих виділених приміщеннях відбуваються конфіденційні розмови та переговори.

Примітка 2. Всі перераховані підприємства знаходяться на відстані більше 200 м. від представництв іноземних держав.

Розділ 1

Опис лабораторії приладів для високоточних вимірювань