Таганрогский технологический институт

ТАГАНРОГСКИЙ ТЕХНОЛОГИЧЕСКИЙ ИНСТИТУТ

ЮЖНОГО ФЕДЕРАЛЬНОГО УНИВЕРСИТЕТА

Индивидуальное задание

по дисциплине

«Основы информационной безопасности»

Выполнил: студент гр. И-46

Гончаров Д. Ю.

Проверил: доцент кафедры РЭСЗиС

Кухаренко А. П.

 

 

 

Таганрог 2008 г.

Объект защиты информации: телефонная база данных (содержащая информацию ограниченного пользования) в твердой копии и на электронных носителях.

 

Объект защиты информации – телефонная база данных – хранится на бумажном носителе и 3 копии на дисках CD-R. Данный объект защиты находится в отдельной комнате размером 4х5 метров на третьем этаже пятиэтажного здания. В комнате имеется два окна, каждое с двойным звукоизолирующим стеклопакетом. Так же в комнате имеется система пожарной безопасности, система отопления, система электропитания. В комнате расположен персональный компьютер, принтер, необходимые для обработки информации. Компьютер не имеет подключения к локальной сети предприятия. Дверь в данную комнату металлическая с электронным ключом. Данная телефонная база данных (бумажный и электронные носители) хранится в железном сейфе с кодовым замком.

 

Информация, хранящаяся в телефонной базе, содержит данные ограниченного пользования (номера телефонов и адреса сотрудников предприятия). Стоимость хранимой информации составляет 1000000 рублей.

 

Виды угроз:

1) хищение информации;

2) уничтожение информации ограниченного пользования;

3) искажение и подделка информации;

 

Характер происхождения угроз:

1) умышленные факторы:

· хищение носителей информации;

· несанкционированный доступ;

· разглашение информации;

· копирование данных;

2) естественные факторы:

· несчастные случаи (пожары, взрывы, аварии);

· стихийные бедствия;

· ошибки в процессе обработки информации (ошибки пользователя).

 

 

Классы каналов несанкционированного получения информации:

Класс 1. Каналы от источника информации при несанкционированном доступе к ней:

1) хищение бумажного и/или электронных носителей;

2) копирование информации с электронных носителей;

3) фотографирование или видеосъемка твердой копии телефонной базы данных внутри помещения;

4) выведывание информации обслуживающего персонала на объекте.

Класс 2. Каналы со средств обработки информации при несанкционированном доступе к ним:

1) установка закладных устройств в компьютер;

2) копирование информации с монитора компьютера (фотографирование) при ее обработке.

Класс 3. Каналы от источника информации без несанкционированного доступа к нему:

1) использование технических средств оптической разведки (биноклей, подзорных труб и т.п.);

2) использование технических средств оптико-электронной разведки (внешних телекамер, приборов ночного видения и т.д.);

3) выведывание информации у обслуживающего персонала за пределами объекта.

Класс 4. Каналы со средств обработки информации без несанкционированного доступа к ним:

1) электромагнитные излучения компьютера, обрабатывающего информацию;

2) снятие наводок с системы заземления;

3) снятие наводок с системы питания;

4) снятие наводок с системы теплоснабжения.

 

Источники появления угроз:

· злоумышленники, желающие получить защищаемую информацию;

· сотрудники организации;

· стихийные бедствия;

· чрезвычайные ситуации.

 

Причины нарушения целостности информации:

1. Субъективные.

1.1 Преднамеренные:

1) организация пожаров, взрывов, повреждений электропитания и д.р.;

2) хищение, подмена носителей, уничтожение твердой копии и электронных носителей информации;

3) электромагнитное облучение электронных носителей информации (дисков CD-R);

4) воздействие на психику обслуживающего персонала психотропными веществами.

1.2 Непреднамеренные:

1) гибель, увечья обслуживающего персонала;

2) ошибки людей.

2. Объективные, непреднамеренные.

2.1 Отказы системы питания.

2.2 Сбои системы питания.

2.3 Стихийные бедствия.

2.4 Несчастные случаи (пожары, аварии, взрывы).

 

Потенциально возможные злоумышленные действия:

1) причинение ущерба обслуживающим персоналом;

2) причинение ущерба посторонними лицами;

3) установление различных подслушивающих устройств и скрытых видеокамер.

 

Классы защиты информации:

Класс 1. Уменьшение степени распознавания объектов:

1 Дезинформация противника.

2 Легендирование.

Класс 2. Защита содержания обрабатываемой, хранимой и передаваемой информации:

1 Введение избыточности элементов системы.

2 Регулирование доступа к защищаемой информации.

3 Регулирование использования защищаемой информации.

4 Маскировка информации.

5 Обеспечение сигнализации.

6 Обеспечение реагирования.

7 Обеспечение требуемого уровня готовности обслуживающего персонала к решению задач информационной безопасности.

Класс 3. Защита информации от информационного воздействия:

3.1 Защита от информационного воздействия на психику человека.

3.2 Защита от информационного воздействия на технические средства обработки (ПК):

· внедрения компьютерных вирусов;

· внедрение ложной информации в систему.

 

 

Матрица угроз.

	х	+	+	-	-	+	-	+
	+	х	-	+	-	-	+	-
	+	-	х	+	+	-	-	+
	-	+	+	х	-	+	+	-
	-	-	+	-	х	-	-	+
	+	-	-	+	-	х	-	+
	-	+	-	+	-	-	х	+
	+	-	+	-	+	+	+	х

 

Требования к защите информации.

 

1.По характеру информации, хранимой в телефонной базе данных, ее можно отнести к секретной. К этой информации применимо персональное разграничение. Это когда для информации составляется список пользователей, имеющих право доступа к ней.

 

2. Объемом обрабатываемой информации. Обрабатываемая информация хранится на нескольких внешних запоминающих устройствах. Обеспечивается защита внешних запоминающих устройств(ВЗУ), обеспечиваться необходимая изоляция друг от друга данных, размещенных на различных носителях при одновременной их обработке.

 

3. Продолжительности пребывания защищаемой информации в автоматизированной системе обработки информации:

Информация длительного хранения подлежит постоянной защите,

уничтожение ее выполнятся по определенным командам.

 

4. Требования, определяемые структурой автоматизированной системы

обработки данных, могут быть сформулированы в следующем виде.

Информация защищаться во всех структурных элементах автоматизированной системы обработки данных, причем специфические требования к защите информации в структурных элементах различного типа сводятся к следующему.

 

а). В устройствах группового ввода-вывода (УГВВ):

- монитор располагается так, чтобы исключить возможность просмотра отображаемой информации со стороны;

- В УГВВ при каждом обращении к защищаемой информации осуществляться процедуры:

· устанавливается подлинность вступающих в работу пользователей;

· проверяется законность каждого запроса на соответствие предоставленным

пользователю полномочиям;

· контролируется обработка защищаемой информации;

· предусмотрены возможности аварийного уничтожения информации как в ОЗУ, так и в ВЗУ

 

б) В центральном вычислителе:

• монитор располагается так, чтобы исключить возможность просмотра отображаемой информации со стороны;

• всякое обращение к защищаемой информации проверяется на санкционированность;

• предусмотрены возможности аварийного уничтожения всей информации.

 

в) В ВЗУ:

· устройства управления ВЗУ, на которых установлены носители с защищаемой информацией, имеются замки, предупреждающие несанкционированное изъятие или замену носителя;

· должны быть предусмотрены возможности автономного аварийного уничтожения информации на носителях, находящихся в ВЗУ.

г) В хранилище носителей:

· Все носители, содержащие защищаемую информацию, должны иметь четкую и однозначную маркировку, которая, однако, не должна раскрывать содержания записанной на них информации.

· Носители, содержащие защищаемую информацию, должны храниться таким образом, чтобы исключить возможности несанкционированного доступа к ним.

· Должны быть предусмотрены возможности аварийного уничтожения информации на носителях, находящихся в хранилищах.

д) Требования к защите информации, обусловливаемые территориальной распределенностью автоматизированной системы обработки данных, заключаются в следующем:

• в автоматизированной системе обработки данных, размещенной в одном помещении, организовывается и обеспечивается требуемый уровень защиты в пределах помещения.

 

5.Требования, обусловливаемые видом защищаемой информации, могут

быть сформулированы в таком виде:

а) К защите документальной информации предъявляются следующие требования:

• обеспечиваться защита как оригиналов документов, так и сведений о них, накапливаемых и обрабатываемых в автоматизированной системе обработки данных;

б) При обработке фактографической быстроменяющейся информации учитываться следующие требования:

• применяемые средства и методы защиты не существенно влияют на оперативность обрабатываемой информации;

• применяемые средства и методы защиты выбираются с учетом обеспечения доступа к защищаемой информации строго ограниченного круга лиц.

в) К защите фактографической исходной информации предъявляются следующие требования:

• каждый пользователь обеспечен возможностью формирования требования к защите создаваемых им массивов данных в пределах предусмотренных в автоматизированной системе обработки данных возможностей защиты;

• в системе защиты предусмотрены средства, выбираемые и используемые пользователями для защиты своих массивов по своему усмотрению.

г) К защите фактографической регламентной информации предъявляются следующие требования:

• применяемые средства и методы защиты рассчитаны на длительную и надежную защиту информации;

• повышенное значение приобретают процедуры идентификации, опознавания, проверки полномочий, регистрации обращений и контроля выдачи.

Классификация автоматизированных систем.

Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.

Основными этапами классификации АС являются:

• разработка и анализ исходных данных;
• выявление основных признаков АС, необходимых для классификации;
• сравнение выявленных признаков АС с классифицируемыми;
• присвоение АС соответствующего класса защиты информации от НСД.

Необходимыми исходными данными для проведения классификации конкретной АС являются:

• перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
• перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
• матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
• режим обработки данных в АС.

К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

• наличие в АС информации различного уровня конфиденциальности;
• уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
• режим обработки данных в АС - коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

• управления доступом;
• регистрации и учета;
• криптографической;
• обеспечения целостности.

Рассматриваемый мною объект относится ко второй группе к классу защищенности 2А.

Обозначения:
«-» - нет требований к данному классу;
«+» - есть требования к данному классу.

Подсистемы и требования
2А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему	+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ	-
к программам	-
к томам, каталогам, файлам, записям, полям записей	-
1.2. Управление потоками информации	-
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) системы (узел сети)	+
выдачи печатных (графических) выходных документов	-
запуска (завершения) программ и процессов (заданий, задач)	-
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи	-
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей	-
изменения полномочий субъектов доступа	-
создаваемых защищаемых объектов доступа	-
2.2. Учет носителей информации	+
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей	-
2.4. Сигнализация попыток нарушения защиты	-
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации	-
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах	-
3.3. Использование аттестованных (сертифицированных) криптографических средств	-
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации	+
4.2. Физическая охрана средств вычислительной техники и носителей информации	+
4.3. Наличие администратора (службы) защиты информации в АС	-
4.4. Периодическое тестирование СЗИ НСД	+
4.5. Наличие средств восстановления СЗИ НСД	+
4.6. Использование сертифицированных средств защиты	-

 

Требования к классу защищенности 2А:

Подсистема управления доступом:

должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;

должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по их логическим адресам (номерам);

должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на них информации.

Подсистема регистрации и учета:

должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.

В параметрах регистрации указываются:

• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
• результат попытки входа: успешная или неуспешная (при НСД);
• идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа порядковым номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц). В параметрах регистрации указываются:

• дата и время выдачи (обращения к подсистеме вывода);
• спецификация устройства выдачи [логическое имя (номер) внешнего устройства], краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;
• идентификатор субъекта доступа, запросившего документ;

должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:

• дата и время запуска;
• имя (идентификатор) программы (процесса, задания);
• идентификатор субъекта доступа, запросившего программу (процесс, задание);
• результат запуска (успешный, неуспешный - несанкционированный);

должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются:

• дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная,
• идентификатор субъекта доступа;
• спецификация защищаемого файла;

должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются:

• дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная;
• идентификатор субъекта доступа;
• спецификация защищаемого объекта [логическое имя (номер)];

должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;

должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);

должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации;

должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

Рекомендации по увеличению уровня защищенности.

1. Следить за совершенствованием безопасности информации, своевременно обновлять защиту.

2. Поиск недочетов в системе безопасности.

3. Строгий подбор кадров.

4. Установка систем биометрической проверки подлинности.

ТАГАНРОГСКИЙ ТЕХНОЛОГИЧЕСКИЙ ИНСТИТУТ

ЮЖНОГО ФЕДЕРАЛЬНОГО УНИВЕРСИТЕТА

Индивидуальное задание

по дисциплине

«Основы информационной безопасности»

Выполнил: студент гр. И-46

Гончаров Д. Ю.