Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4609 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Финансово-технологическая академия
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
мой диплом12312312321321312312333333333333333.docx
Скачиваний:
48
Добавлен:
06.03.2016
Размер:
1.38 Mб
Скачать
►Содержание►

1.2 Характеристика информационных объектов служебного кабинета

На рис. 1.3 изображено расположение основных информационных объектов служебного кабинета:

Рис. 1.3 Расположение основных информационных объектов служебного кабинета

Основными информационными объектами служебного кабинета являются АРМ генерального директора, сетевой принтер, сейф с документами, в служебном кабинете циркулирует и обрабатывается информация конфидециального характера. В первую очередь это коммерческая тайна и персональные данные.

Информационная система ООО "Тех ЗИ" обрабатывает информацию, относящуюся:

  • к коммерческой тайне;

  • к персональным данным.

Для обработки конфиденциальной информации функционирует конфиденциальное делопроизводство. Информация обрабатывается в бумажном и электронном виде. В электронном виде информация обрабатывается с использованием автоматизированного рабочего места. Схема конфиденциального делопроизводства представлена на рис. 1.4

Рис. 1.4 Схема конфиденциального делопроизводства.

Вся циркулирующая и обрабатываемая информация, подлежит документированному описанию и хранится в документированном виде на самом предприятии.

Местом обработки конфиденциальной информации и персональных данных является служебный кабинет предприятия ООО "Тех ЗИ" и, следовательно, рассматривается как основной объект информационной безопасности.

Утрата или повреждение материальных ценностей предприятия может нанести большой урон. Восполнение урона может потребовать не только материальных затрат, но и вызвать простой организации, срыв поставок, выплаты неустоек и т.д. Поэтому защита материальных ценностей и носителей информации это задача, которая возникает при организации системы безопасности в первую очередь. Основным средством противодействия преступным посягательствам на чужое имущество и незаконному проникновению в служебный кабинет является система физической защиты информации.

Защищаемая информация в процессе обработки, хранения и передачи может быть представлена в бумажном или электронном виде, соответственно, и носители информации ограничиваются двумя типами: бумажным и электронным (жесткие и гибкие магнитные диски, оптические и флэш-накопители, и т. д.). Информация, представленная в электронном виде, циркулирует в информационных системах, либо в автоматизированных системах управления различными процессами.

На практике информационная безопасность рассматривается как совокупность следующих базовых свойств информации как предмета защиты:

  • конфиденциальность, ограничивающая несанкционированный доступ к информации, ее копирование и размножение;

  • целостность (физическая и логическая), означающая что, во- первых, защищаемая информация может быть изменена только законными и имеющими соответствующие полномочия пользователями, а во-вторых, информация внутренне непротиворечива и (если данное свойство применимо) отражает реальное положение вещей;

  • доступность, гарантирующая беспрепятственный доступ к защищаемой информации для законных пользователей.

Таким образом, эффективная система безопасности объекта защиты должна обеспечивать указанные свойства защищаемой информации рис. 1.5

Рис. 1.5 Свойства различных видов информации служебного кабинета

Первичным свойством, с точки зрения организации мероприятий по защите информации, независимо от ее представления, является ее конфиденциальность, поскольку нарушение конфиденциальности, как следствие, влечет за собой нарушение и остальных свойств информации как предмета защиты.

СФЗИ - это комплекс, который включает нормативно-правовые документы, организационные и технические меры, направленные на обеспечение безопасности объекта информатизации. С возрастанием роли безопасности повышаются требования ко всем аспектам ее защиты и, учитывая, что любая информация храниться на материальных носителях, прежде всего к системе физической защиты.

В литературе встречается несколько определений системы физической защиты.

Физическая безопасность - реализация физических барьеров и контрольных процедур, как превентивная или контрмера против физических угроз (взлома, кражи и т.д.) ресурсам системы и критичной информации.

СФЗИ - система физической защиты информации, представляет собой совокупность правовых норм, организационных мер и инженерно-технических решений, направленных на защиту жизненно-важных интересов и ресурсов предприятия (объекта) от угроз, источниками которых являются злоумышленные (несанкционированные) физические воздействия физических лиц нарушителей.

На данный момент наиболее точным определением является следующее:

Система физической защиты информации представляет собой совокупность технических средств, правовых и организационных норм, реализующих выполнение мероприятий, направленных:

  • на субъект угрозы с целью его физической нейтрализации;

  • объект защиты с целью повышения его стойкости угрожающим воздействиям;

  • физическую среду, разделяющую субъект угрозы и объект охраны с целью замедления и ослабления угрожающих.

Главной целью физической защиты является решение задачи нейтрализации человека (нарушителя), инициирующего физические угрозы.

В настоящее время также нет единого мнения по определению состава СФЗИ. В источниках литературы представлены различные классификации средств защиты в зависимости от целей проектирования систем физической защиты. Структурно-функциональная схема существующей системы физической защиты представлена на рис.1.6

Рис.1.6 Структурно-функциональная схема существующей системы физической защиты

В служебном кабинете установлены окна с двойным остеклением, с толщиной стекла 3 мм. Двери, находящиеся на объекте защиты являются металлическими.

Освещение служебного кабинета электрическое. Электропроводка по стенам проложена в металлических и пластиковых кабель-каналах, за подвесными потолками в пластиковых трубах. Система гарантированного электропитания в служебном кабинете отсутствует.

Вход на объект расположен в центральной части здания. Охрана объекта осуществляется круглосуточно службой безопасности.

Основополагающими признаками определяющими выбор уровня защиты служебного кабинета, являются категория важности объекта и модель нарушителя, от проникновения которого служебный кабинет должен быть защищен.

При выборе уровня защиты следует учитывать возможность обоснованного отнесения объекта к одной из четырех категорий:

  • 1-я категория – особо важный объект;

  • 2-я категория – особо режимный объект;

  • 3-я категория – режимный объект;

  • 4-я категория – нережимный объект.

Отнесение конкретных объектов к той или иной категории важности регламентируете специальным перечнем, утвержденным правительством РФ. В соответствии с РД 78. 36. 003-2002 объект защиты относится к подгруппе Б II по инженерно-технической укрепленности, хищения на которых в соответствии с уголовным законодательством Российской Федерации могут привести к ущербу в размере до 500 минимальных размеров оплаты труда и свыше 500 соответственно.

В служебном кабинете конфиденциальная информация обрабатывается на АРМ, а также хранится в сейфе с документами на материальном носителе (бумаге). Отсюда следует, что помещение должно иметь 2 категорию защищенности:

вторая категория – помещения, где размещены ценные и важные товары, предметы и изделия, утрата которых может привести к значительному материальному и финансовому ущербу, создать угрозу здоровью и жизни людей, находящихся на объекте.

В соответствии с требованиями РД 78.36.003-2002 объект защиты соответствует классу Б II. Согласно этому строительные конструкции объекта должны соответствовать первому классу защищенности, то есть кирпичные перегородки должны быть толщиной 138 мм по СНиПIII-17-78, а железобетонные конструкции толщиной 160 мм по ГОСТ 9561-91. Толщина кирпичной кладки внутри объекта защиты составляет 1 кирпич, что равно 250мм, а железобетонные блоки имеют ширину 200мм. То есть строительные конструкции удовлетворяют первому классу защищенности.

Двери, установленные в служебном кабинете соответствуют категории и классу устойчивости О-IIпо ГОСТ Р 51242-98, что соответствует второму классу защищенности дверных конструкций. Двери этого класса обязательны для класса БII. Оконные конструкции так же удовлетворяют требованиям класса БII.

Подсистема пожарно-охранной сигнализации установлена на стене, обеспечивается отсутствие возможных колебаний и вибраций. Основная цель пожарно-охранной сигнализации спасение жизни людей. Состоит из нескольких элементов:

  • извещатели - улавливают изменение физических параметров внутри служебного кабинета;

  • приемно-контрольные приборы - получают и обрабатывают информацию, полученную от извещателей;

  • сигнальные устройства - устройства, передающие сигнал тревоги -световой, звуковой, сигнал на пульт охраны;

Подсистема пожарно-охранной сигнализации работает в автономном режиме, при этом подсистема охраны выполняет свои функции (обнаруживает проникновение в помещение, оповещает службу охраны, а пожарная подсистема (обнаруживает возгорание и приводит в действие автоматическую систему пожаротушения).

Утрата или повреждение материальных ценностей предприятия может нанести большой урон. Восполнение урона может потребовать не только материальных затрат, но и вызвать простой организации, срыв поставок, выплаты неустоек и т.д. Поэтому защита материальных ценностей и носителей информации это задача, которая возникает при организации системы безопасности в первую очередь. Основным средством противодействия преступным посягательствам на чужое имущество и незаконному проникновению в служебный кабинет является система физической защиты информации.

Утечка информации из служебного кабинета предприятия ООО «Тех ЗИ» может нанести серьезный урон не только ему, но и клиентам.

Потенциальными злоумышленниками могут быть и конкуренты, и недобросовестные клиенты, и сотрудники фирмы.

Внешние злоумышленники

К таковым лицам следует отнести террористов, преступников, экстремистов или хакеров. Мотивы, побуждающие потенциальных нарушителей предпринять преступные действия против предприятия или другого объекта, можно свести к трем широким категориям:

• Идеологические, связаны с политической или философской системой и характерны для политических террористов, антиядерных экстремистов, а также некоторых групп философских и религиозных фанатиков..

• Экономические, обусловлены желанием получить финансовую выгоду. Преступники могут рассматривать информацию как потенциально привлекательные цели для кражи с последующими выкупом, продажей, а также для вымогательства.

• Личные, связаны с конкретными ситуациями, в которых оказываются конкретные люди. Круг лиц, совершающих преступления по личным причинам, варьируется от враждебно настроенного служащего, обиженного на работодателя, до психопата. Некоторые нападения осуществляются в целях развлечения, как, например, атаки хакеров на компьютерные системы.

Нередко для достижения своих целей заинтересованные лица прибегают к помощи сотрудников, работающих на предприятии, ведь они знают систему предприятия изнутри. Для этого злоумышленники чаще всего используют подкуп и убеждение, известны так же случаи запугивания сотрудников.

Если угроза будет исходить от лиц, не работающих в данной организации, то возможность проникновения в служебный кабинет исключается, так как на первом этаже расположен пост охраны, к тому же проникновение в служебный кабинет будет контролироваться техническими средствами защиты.

Потенциальными целями злоумышленников могут быть кража, диверсия, вымогательство, насилие, похищение людей, злоупотребления на объекте, раскрытие секретной информации.

Внутренние злоумышленники

Эту группу составляют лица, осведомленные об операциях на объекте и(или) характеристиках системы обеспечения безопасности, а также те, кто имеет доступ без сопровождения на объект или интересы, связанные с безопасностью. Полный спектр угроз, исходящих от данной категории лиц, может включать действия пассивных лиц (например, тех, кто передает информацию), активных, но не вовлеченных непосредственно в насильственные действия (подготавливают входы и выходы, отключают сигнализацию и связь) и активных, участвующих в насильственных действиях. Организовать защиту от активного участника - сотрудника объекта, вовлеченного в насильственные действия, достаточно трудно. Хотя на объекте может быть более одного участника противоправных действий, основное внимание уделяется случаю, как наиболее вероятному, когда он один.

При рассмотрении угрозы со стороны сотрудника надо понимать, что они могут иметь те же мотивы, что и посторонние лица. Любой служащий может представлять потенциальную опасность, даже такие лица, как облеченные доверием управляющие и сотрудники службы безопасности. Не следует считать, что служащие свободны от корысти и неудовлетворенности, а также, что они не могут помогать нарушителям по принуждению. Рассматриваемая здесь группа нарушителей отличается от других тремя особенностями:

• знанием системы, которое может быть использовано в собственных

целях;

• санкционированным и не вызывающим ни у кого подозрения доступом на объект, к информационной системе предприятия и к СФЗ;

• возможностью подобрать оптимальное время для несанкционированных действий.

Защита от недобросовестных служащих может оказаться очень сложной. Они могут использовать свое знание режима работы объекта и характеристик СФЗ, а также сделать высокими свои шансы на успех, так как имеют доступ в критические зоны или к важной информации, кроме того у них имеется возможность выбрать время и стратегию действий. Сотрудники могут злоупотреблять своими полномочиями доступом к информации или возможностями.

Схема границы контролируемой зоны представлена на рис. 1.7

Рис. 1.7 Схема границы контролируемой зоны

Контролируемая зона - территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа. Контролируемая зона ограничивается периметром охраняемой территории служебного кабинета, в котором проводятся закрытые мероприятия.

Модель проникновения вероятного злоумышленника в служебный представлена на рис. 1.8

Рис. 1.8 Модель проникновения вероятного злоумышленника

Таким образом, при построении системы защиты следует учитывать, что основную часть нарушителей (около 70 %) будут составлять сотрудники предприятия, но необходимо также исключить проникновение посторонних лиц в контролируемую зону.

Угрозы несанкционированного доступа к конфиденциальной информации расположены в порядке их важности и первостепенности, угрозы уничтожения, хищения аппаратных средств автоматизированного рабочего места, носителей информации путем физического доступа к информационным объектам:

  • кража ПЭВМ, угроза осуществляется путем несанкционированного доступа внешними и внутренними нарушителями в помещение, где расположены элементы автоматизированного рабочего места;

  • кража носителей информации. Угроза осуществляется путем несанкционированного доступа внешними и внутренними нарушителями к носителям информации;

  • кражи, модификации, уничтожения информации. Угроза осуществляется путем несанкционированного доступа внешними и внутренними нарушителями в помещение, где расположены элементы автоматизированного рабочего места;

  • вывод из строя узлов информационной системы. Угроза осуществляется путем несанкционированного доступа внешними и внутренними нарушителями в помещение, где расположены элементы автоматизированного рабочего места;

  • несанкционированное отключение средств защиты. Угроза осуществляется путем несанкционированного доступа внешними и внутренними нарушителями в помещение, где расположены средства защиты.

Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). Действия вредоносных программ (вирусов). Программно-математическое воздействие - это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой (вирусом) называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций:

  • скрывать признаки своего присутствия в программной среде компьютера;

  • обладать способностью к самодублированию, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти;

  • разрушать (искажать произвольным образом) код программ в оперативной памяти;

  • выполнять без инициирования со стороны пользователя (пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирования, уничтожения, блокирования и т.п.);

  • сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);

  • искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных;

  • недекларированные возможности системного программного обеспечения и программного обеспечения для работы в информационных системах. Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации;

  • установка программного обеспечения не связанного с исполнением служебных обязанностей. Угроза осуществляется путем несанкционированной установки программного обеспечения внутренними нарушителями, что может привести к нарушению конфиденциальности, целостности и доступности всей информационной системы или ее элементов;

Угрозы преднамеренных действий внутренних нарушителей:

  • доступ к информации, модификация, уничтожение лицами, не допущенными к её обработке. Угроза осуществляется путем несанкционированного доступа внешних нарушителей в помещения, где расположены элементы автоматизированного рабочего места и средства защиты, а так же происходит работа пользователей;

  • разглашение информации, модификация, уничтожение сотрудниками допущенными к её обработке. Угроза осуществляется за счёт действия человеческого фактора пользователей автоматизированного рабочего места, которые нарушают положения о неразглашении обрабатываемой информации или не осведомлены о них.

Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования информационной системы и системы защиты конфиденциальной информации в её составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного характера (ударов молний, пожаров, наводнений и т.п.):

  • утрата ключей и атрибутов доступа. Угроза осуществляется за счёт действия человеческого фактора пользователей информационной системы, которые нарушают положения парольной политике в части их создания (создают легкие или пустые пароли, не меняют пароли по истечении срока их действия или компрометации и т.п.) и хранения (записывают пароли на бумажные носители, передают ключи доступа третьим лицам и т.п.) или не осведомлены о них;

  • непреднамеренная модификация (уничтожение) информации сотрудниками. Угроза осуществляется за счет действия человеческого фактора пользователей информационной системы, которые нарушают положения принятых правил работы с информационной системой или не осведомлены о них;

  • непреднамеренное отключение средств защиты. Угроза осуществляется за счет действия человеческого фактора пользователей информационной системы, которые нарушают положения принятых правил работы с информационной системой и средствами защиты или не осведомлены о них;

  • выход из строя аппаратно-программных средств. Угроза осуществляется вследствие несовершенства аппаратно-программных средств, из-за которых может происходить нарушение целостности и доступности защищаемой информации;

  • сбой системы электроснабжения. Угроза осуществляется вследствие несовершенства системы электроснабжения, из-за чего может происходить нарушение целостности и доступности защищаемой информации;

  • стихийное бедствие. Угроза осуществляется вследствие несоблюдения мер пожарной безопасности.

В результате вышеописанного анализа были выявлены основные информационные объекты служебного кабинета.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности