Добавил:

Mister_Zurg Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича

Предмет:

Основы Управления Информационной Безопасностью

Файл:

Спойлер все лабы с КАВКАЗА

.pdf

Скачиваний:

Добавлен:

31.12.2021

Размер:

11.37 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 7 8 9 10 11 1213 / 2813 14 15 16 17 18 19 20 21 22 23 24 25 > Следующая >>>

	16.	414	0,15	0,65	0,8	0,12	1
	17.	511	0,25	0,65	0,8	0,2	1
5	18.	512	0,25	0,65	0,8	0,2	1	0,80
5	19.	513	0,25	0,65	0,8	0,2	1	0,80
	19.	513	0,25	0,65	0,8	0,2	1
	20.	514	0,25	0,65	0,8	0,2	1
	21.	611	0,25	0,65	0,5	0,125	0
6	22.	612	0,25	0,65	0,5	0,125	0	0,65
6	23.	613	0,25	0,65	0,8	0,2	1	0,65
	23.	613	0,25	0,65	0,8	0,2	1
	24.	614	0,25	0,65	0,8	0,2	1
	25.	711	0,5	0,65	0,8	0,4	1
7	26.	712	0,2	0,65	0,8	0,16	1	0,80
7	27.	713	0,15	0,65	0,8	0,12	1	0,80
	27.	713	0,15	0,65	0,8	0,12	1
	28.	714	0,15	0,65	0,8	0,12	1

Рисунок 9 – Оценка защищенности объектов ИС

этапа	Переченьпоказате лей	№элементама	трицы		Коэффициентва жности		безопас ностид остигну ты	Qд х aj		Сравнение профилей		Качественна яоценка	Количественна яоценка
№

	m	№		aj		Q mp	Qд	Q даj	S пр		Q груп	Q	S
	1.	121		0,5		0,7	0,9	0,45	1
1	2.	122		0,2		0,7	0,9	0,18	1		0,90
1	3.	123		0,15		0,7	0,9	0,135	1		0,90
	3.	123		0,15		0,7	0,9	0,135	1
	4.	124		0,15		0,7	0,9	0,135	1
	5.	221		0,25		0,7	0,9	0,225	1
2	6.	222		0,25		0,7	0,9	0,225	1		0,90
2	7.	223		0,25		0,7	0,9	0,225	1		0,90
	7.	223		0,25		0,7	0,9	0,225	1
	8.	224		0,25		0,7	0,9	0,225	1
	9.	321		0,25		0,7	0,9	0,225	1
3	10.	322		0,25		0,7	0,6	0,15	0		0,68
3	11.	323		0,25		0,7	0,6	0,15	0		0,68
	11.	323		0,25		0,7	0,6	0,15	0
	12.	324		0,25		0,7	0,6	0,15	0
	13.	421		0,25		0,7	0,8	0,2	1
4	14.	422		0,25		0,7	0,8	0,2	1		0,80	0,79	0,82
4	15.	423		0,25		0,7	0,8	0,2	1		0,80	0,79	0,82
	15.	423		0,25		0,7	0,8	0,2	1
	16.	424		0,25		0,7	0,8	0,2	1
	17.	521		0,25		0,7	0,8	0,2	1
5	18.	522		0,25		0,7	0,8	0,2	1		0,80
5	19.	523		0,25		0,7	0,8	0,2	1		0,80
	19.	523		0,25		0,7	0,8	0,2	1
	20.	524		0,25		0,7	0,8	0,2	1
	21.	621		0,25		0,7	0,5	0,125	0
6	22.	622		0,25		0,7	0,5	0,125	0		0,65
6	23.	623		0,25		0,7	0,8	0,2	1		0,65
	23.	623		0,25		0,7	0,8	0,2	1
	24.	624		0,25		0,7	0,8	0,2	1
	25.	721		0,25		0,7	0,8	0,2	1
7	26.	722		0,25		0,7	0,8	0,2	1		0,80
7	27.	723		0,25		0,7	0,8	0,2	1		0,80
	27.	723		0,25		0,7	0,8	0,2	1
	28.	724		0,25		0,7	0,8	0,2	1

Рисунок 10 – Оценка защищенности процессов и программ ИС

этапа	Переченьпоказате лей	№элементамат рицы	Коэффициентва жности		безопасно стидостиг нуты	Qд х aj		Сравнениепр офилей		Качественнаяо ценка	Количественная оценка
№

	m	№	aj	Q mp	Qд	Q даj	S пр		Q груп	Q	S
	1.	131	0,5	0,8	0,7	0,35	0
1	2.	132	0,2	0,8	0,8	0,16	1		0,68
1	3.	133	0,15	0,8	0,5	0,075	0		0,68
	3.	133	0,15	0,8	0,5	0,075	0
	4.	134	0,15	0,8	0,6	0,09	0
	5.	231	0,25	0,8	0,5	0,125	0
2	6.	232	0,25	0,8	0,8	0,2	1		0,73
2	7.	233	0,25	0,8	0,8	0,2	1		0,73
	7.	233	0,25	0,8	0,8	0,2	1
	8.	234	0,25	0,8	0,8	0,2	1
	9.	331	0,25	0,8	0,6	0,15	0
3	10.	332	0,25	0,8	0,6	0,15	0		0,60
3	11.	333	0,25	0,8	0,6	0,15	0		0,60
	11.	333	0,25	0,8	0,6	0,15	0
	12.	334	0,25	0,8	0,6	0,15	0
	13.	431	0,25	0,8	0,8	0,2	1
4	14.	432	0,25	0,8	0,8	0,2	1		0,70	0,67	0,39
4	15.	433	0,25	0,8	0,6	0,15	0		0,70	0,67	0,39
	15.	433	0,25	0,8	0,6	0,15	0
	16.	434	0,25	0,8	0,6	0,15	0
	17.	531	0,25	0,8	0,6	0,15	0
5	18.	532	0,25	0,8	0,6	0,15	0		0,65
5	19.	533	0,25	0,8	0,6	0,15	0		0,65
	19.	533	0,25	0,8	0,6	0,15	0
	20.	534	0,25	0,8	0,8	0,2	1
	21.	631	0,25	0,8	0,5	0,125	0
6	22.	632	0,25	0,8	0,5	0,125	0		0,65
6	23.	633	0,25	0,8	0,8	0,2	1		0,65
	23.	633	0,25	0,8	0,8	0,2	1
	24.	634	0,25	0,8	0,8	0,2	1
	25.	731	0,25	0,8	0,8	0,2	1
7	26.	732	0,25	0,8	0,6	0,15	0		0,68
7	27.	733	0,25	0,8	0,5	0,125	0		0,68
	27.	733	0,25	0,8	0,5	0,125	0
	28.	734	0,25	0,8	0,8	0,2	1

Рисунок 11 – Оценка защищенности каналов связи ИС

этапа	Переченьпоказате лей	№элементамат рицы	Коэффициентв ажности			безопасно стидостиг нуты	Qд х aj		Сравнениепр офилей		Качественная оценка	Количественна яоценка
№

	m	№	aj	Q mp	Qд		Q даj	S пр		Q груп	Q	S
	1.	141	0,5	0,75	0,7		0,35	0
1	2.	142	0,2	0,75	0,8		0,16	1		0,68
1	3.	143	0,15	0,75	0,5		0,075	0		0,68
	3.	143	0,15	0,75	0,5		0,075	0
	4.	144	0,15	0,75	0,6		0,09	0
	5.	241	0,25	0,75	0,5		0,125	0
	6.	242	0,25	0,75	0,8		0,2	1			0,72	0,64
2	6.	242	0,25	0,75	0,8		0,2	1		0,73
2	7.	243	0,25	0,75	0,8		0,2	1		0,73
	7.	243	0,25	0,75	0,8		0,2	1
	8.	244	0,25	0,75	0,8		0,2	1
3	9.	341	0,25	0,75	0,6		0,15	0		0,60
3	10.	342	0,25	0,75	0,6		0,15	0		0,60
	10.	342	0,25	0,75	0,6		0,15	0

	11.	343	0,25		0,75	0,6	0,15	0
	12.	344	0,25		0,75	0,6	0,15	0
	13.	441	0,25		0,75	0,8	0,2	1
4	14.	442	0,25		0,75	0,8	0,2	1		0,80
4	15.	443	0,25		0,75	0,8	0,2	1		0,80
	15.	443	0,25		0,75	0,8	0,2	1
	16.	444	0,25		0,75	0,8	0,2	1
	17.	541	0,25		0,75	0,8	0,2	1
5	18.	542	0,25		0,75	0,8	0,2	1		0,80
5	19.	543	0,25		0,75	0,8	0,2	1		0,80
	19.	543	0,25		0,75	0,8	0,2	1
	20.	544	0,25		0,75	0,8	0,2	1
	21.	641	0,25		0,75	0,5	0,125	0
6	22.	642	0,25		0,75	0,5	0,125	0		0,65
6	23.	643	0,25		0,75	0,8	0,2	1		0,65
	23.	643	0,25		0,75	0,8	0,2	1
	24.	644	0,25		0,75	0,8	0,2	1
	25.	741	0,25		0,75	0,8	0,2	1
7	26.	742	0,25		0,75	0,8	0,2	1		0,80
7	27.	743	0,25		0,75	0,8	0,2	1		0,80
	27.	743	0,25		0,75	0,8	0,2	1
	28.	744	0,25		0,75	0,8	0,2	1
	Рисунок		12	– Оценка		защищенности		от	утечки		по	техническим
каналам (ПЭМИН)

№ этапа	Переченьпоказателей	№элементаматри цы	Коэффициентважност	и		безопасност идостигнуты	Qд х aj	Сравнениепрофилей		Степеньвыпо лнения	групптребований		Качественнаяоце нка	Количественнаяоц енка

	m	№	aj		Q mp	Qд	Q даj	S пр		Q груп			Q	S
	1.	151	0,5		0,6	0,7	0,35	1
1	2.	152	0,2		0,6	0,8	0,16	1		0,68
1	3.	153	0,15		0,6	0,5	0,075	0		0,68
	3.	153	0,15		0,6	0,5	0,075	0
	4.	154	0,15		0,6	0,6	0,09	1
	5.	251	0,25		0,6	0,5	0,125	0
2	6.	252	0,25		0,6	0,8	0,2	1		0,73
2	7.	253	0,25		0,6	0,8	0,2	1		0,73
	7.	253	0,25		0,6	0,8	0,2	1
	8.	254	0,25		0,6	0,8	0,2	1
	9.	351	0,5		0,6	0,6	0,3	1
3	10.	352	0,2		0,6	0,6	0,12	1		0,59
3	11.	353	0,15		0,6	0,5	0,075	0		0,59
	11.	353	0,15		0,6	0,5	0,075	0
	12.	354	0,15		0,6	0,6	0,09	0
	13.	451	0,25		0,6	0,8	0,2	1					0,72	0,79
4	14.	452	0,25		0,6	0,8	0,2	1		0,80
4	15.	453	0,25		0,6	0,8	0,2	1		0,80
	15.	453	0,25		0,6	0,8	0,2	1
	16.	454	0,25		0,6	0,8	0,2	1
	17.	551	0,5		0,6	0,8	0,4	1
5	18.	552	0,2		0,6	0,8	0,16	1		0,80
5	19.	553	0,15		0,6	0,8	0,12	1		0,80
	19.	553	0,15		0,6	0,8	0,12	1
	20.	554	0,15		0,6	0,8	0,12	1
	21.	651	0,25		0,6	0,5	0,125	0
6	22.	652	0,25		0,6	0,5	0,125	0		0,65
6	23.	653	0,25		0,6	0,8	0,2	1		0,65
	23.	653	0,25		0,6	0,8	0,2	1
	24.	654	0,25		0,6	0,8	0,2	1
7	25.	751	0,5		0,6	0,8	0,4	1		0,80

26.	752	0,2	0,6	0,8	0,16	1
27.	753	0,15	0,6	0,8	0,12	1
28.	754	0,15	0,6	0,8	0,12	1

	Рисунок	13 –	Оценка	защищенности элементов системы защиты
(управление и контроль)
Табличное представление обобщенных количественных оценок

	Направления защиты							Q сзи
	1		2	3	4	5
1	1,00		1,00	0,00	0,00	1,00		0,60
2	1,00		1,00	1,00	1,00	1,00		1,00
3	0,00		1,00	0,00	0,00	0,00		0,20
4	0,00		1,00	0,00	0,00	1,00		0,40
5	0,00		1,00	0,00	0,00	0,00		0,20
6	1,00		1,00	1,00	1,00	1,00		1,00
7	1,00		1,00	1,00	1,00	1,00		1,00
8	1,00		1,00	1,00	1,00	1,00		1,00
9	0,00		1,00	0,00	0,00	1,00		0,40
10	0,00		0,00	0,00	0,00	1,00		0,20
11	0,00		0,00	0,00	0,00	0,00		0,00
12	0,00		0,00	0,00	0,00	0,00		0,00
13	1,00		1,00	1,00	1,00	1,00		1,00
14	1,00		1,00	1,00	1,00	1,00		1,00
15	1,00		1,00	0,00	1,00	1,00		0,80
16	1,00		1,00	0,00	1,00	1,00		0,80
17	1,00		1,00	0,00	1,00	1,00		0,80
18	1,00		1,00	0,00	1,00	1,00		0,80
19	1,00		1,00	0,00	1,00	1,00		0,80
20	1,00		1,00	1,00	1,00	1,00		1,00
21	0,00		0,00	0,00	0,00	0,00		0,00
22	0,00		0,00	0,00	0,00	0,00		0,00
23	1,00		1,00	1,00	1,00	1,00		1,00
24	1,00		1,00	1,00	1,00	1,00		1,00
25	1,00		1,00	1,00	1,00	1,00		1,00
26	1,00		1,00	0,00	1,00	1,00		0,80
27	1,00		1,00	0,00	1,00	1,00		0,80
28	1,00		1,00	1,00	1,00	1,00		1,00
	Рисунок	14 –	Достигнутый		суммарный	профиль	безопасности

(количественная оценка)

Обобщенные показатели уровня защищенности (качественный и количественный) представлены на рисунке 16. Превышение величины качественного показателя над количественным, свидетельствует о том, что выполненные требования более важны по своему значению чем невыполненные.

На рисунках 17 и 18 представлены матрицы количественных и качественных оценок уровня защищенности, позволяющие наглядно оценить степень выполнения требований по защите информации. Это дает возможность определить сильные и слабые места в СЗИ.

	Направления защиты					Q сзи
	1	2	3	4	5
1	1,00	1,00	0,00	0,00	1,00	0,60
2	1,00	1,00	1,00	1,00	1,00	1,00
3	0,00	1,00	0,00	0,00	0,00	0,20
4	0,00	1,00	0,00	0,00	1,00	0,40
5	0,00	1,00	0,00	0,00	0,00	0,20
6	1,00	1,00	1,00	1,00	1,00	1,00
7	1,00	1,00	1,00	1,00	1,00	1,00
8	1,00	1,00	1,00	1,00	1,00	1,00
9	0,00	1,00	0,00	0,00	1,00	0,40
10	0,00	0,00	0,00	0,00	1,00	0,20
11	0,00	0,00	0,00	0,00	0,00	0,00
12	0,00	0,00	0,00	0,00	0,00	0,00
13	1,00	1,00	1,00	1,00	1,00	1,00
14	1,00	1,00	1,00	1,00	1,00	1,00
15	1,00	1,00	0,00	1,00	1,00	0,80
16	1,00	1,00	0,00	1,00	1,00	0,80
17	1,00	1,00	0,00	1,00	1,00	0,80
18	1,00	1,00	0,00	1,00	1,00	0,80
19	1,00	1,00	0,00	1,00	1,00	0,80
20	1,00	1,00	1,00	1,00	1,00	1,00
21	0,00	0,00	0,00	0,00	0,00	0,00
22	0,00	0,00	0,00	0,00	0,00	0,00
23	1,00	1,00	1,00	1,00	1,00	1,00
24	1,00	1,00	1,00	1,00	1,00	1,00
25	1,00	1,00	1,00	1,00	1,00	1,00
26	1,00	1,00	0,00	1,00	1,00	0,80
27	1,00	1,00	0,00	1,00	1,00	0,80
28	1,00	1,00	1,00	1,00	1,00	1,00

Рисунок 15 – Количественные показатели выполнения требований по защите информации

	Направления защиты

	1	2	3	4	5
						Q.сзи
Показатели	Коэффициенты важности по направлениям					Q.сзи
Показатели	Коэффициенты важности по направлениям

	0,3	0,1	0,2	0,1	0,3
Количественный	0,68	0,82	0,39	0,64	0,79	0,66

Качественный	0,71	0,79	0,67	0,72	0,72	0,71

Рисунок 16 – Обобщенные показатели уровня защищенности ИС

				010				020				030				040					050
					М е р ы т в а		Защита процессов и						М е р ы т в а					Ме ры	Управление системой
	Направления >>>						Защита процессов и												Управление системой
	Направления >>>		Защита объектов ИС					программ			Защита каналов связи					П Э М И Н				защиты
	Основы >>>
	Основы >>>

		011		012	013	014	021	022	023	024	031	032	033	034	041	042	043	044	051	052	053	054
	Определение информации,
	подлежащей защите	0,35		0,16	0,08	0,09	0,45	0,18	0,14	0,14	0,35	0,16	0,08	0,09	0,35	0,16	0,08	0,09	0,35	0,16	0,08	0,09
	Выявление угроз и
	каналов утечки информации	0,16		0,16	0,12	0,12	0,23	0,23	0,23	0,23	0,13	0,20	0,20	0,20	0,13	0,20	0,20	0,20	0,13	0,20	0,20	0,20
		0,16		0,16	0,12	0,12	0,23	0,23	0,23	0,23	0,13	0,20	0,20	0,20	0,13	0,20	0,20	0,20	0,13	0,20	0,20	0,20
	Проведение оценки
	уязвимости и рисков	0,15		0,15	0,15	0,15	0,23	0,15	0,15	0,15	0,15	0,15	0,15	0,15	0,15	0,15	0,15	0,15	0,30	0,12	0,08	0,09
	Определение требований	0,15		0,15	0,15	0,15	0,23	0,15	0,15	0,15	0,15	0,15	0,15	0,15	0,15	0,15	0,15	0,15	0,30	0,12	0,08	0,09
	Определение требований
	к СЗИ Осуществление	0,40		0,16	0,12	0,12	0,20	0,20	0,20	0,20	0,20	0,20	0,15	0,15	0,20	0,20	0,20	0,20	0,20	0,20	0,20	0,20
	выбора	0,40		0,16	0,12	0,12	0,20	0,20	0,20	0,20	0,20	0,20	0,15	0,15	0,20	0,20	0,20	0,20	0,20	0,20	0,20	0,20
	выбора
	средств защиты Внедрение	0,20		0,20	0,20	0,20	0,20	0,20	0,20	0,20	0,15	0,15	0,15	0,20	0,20	0,20	0,20	0,20	0,40	0,16	0,12	0,12
	и использование	0,20		0,20	0,20	0,20	0,20	0,20	0,20	0,20	0,15	0,15	0,15	0,20	0,20	0,20	0,20	0,20	0,40	0,16	0,12	0,12
	и использование
	выбранных мер и средств
	Контроль целостности	0,13		0,13	0,20	0,20	0,13	0,13	0,20	0,20	0,13	0,13	0,20	0,20	0,13	0,13	0,20	0,20	0,13	0,13	0,20	0,20
700	и управление защитой
		0,40		0,16	0,12	0,12	0,20	0,20	0,20	0,20	0,20	0,15	0,13	0,20	0,20	0,20	0,20	0,20	0,40	0,16	0,12	0,12
	Оценки >>>
		0,26		0,16	0,14	0,14	0,23	0,18	0,19	0,19	0,19	0,16	0,16	0,17	0,19	0,18	0,18	0,18	0,27	0,16	0,14	0,15
		Рисунок 17 – Матрица количественных оценок
					010			020					030				040				050
	Направления >>>						Защита процессов и												Управление системой
	Направления >>>		Защита объектов ИС					программ			Защита каналов связи					П Э М И Н				защиты
				Струк тура				программ				Струк тура				Струк тура				защиты
<<<	Основы >>>		Баз а	Струк тура	Меры	Сред ства	База Стру ктур а		Меры	Сред ства	База	Струк тура	Меры	Сред ства	База	Струк тура	Меры	Сред ства	База Стру ктур а		Меры Средст ва
		011		012	013	014	021	022	023	024	031	032	033	034	041	042	043	044	051	052	053	054
100	Определение информации,	1		1	0	0	1	1	1	1	0	1	0	0	0	1	0	0	1	1	0	1
	подлежащей защите	1		1	0	0	1	1	1	1	0	1	0	0	0	1	0	0	1	1	0	1
	подлежащей защите
	Выявление угроз и
200каналов утечки информации		1		1	1	1	1	1	1	1	0	1	1	1	0	1	1	1	0	1	1	1
	Проведение оценки
300уязвимости и рисков		0		0	0	0	1	0	0	0	0	0	0	0	0	0	0	0	1	1	0	0
400	Определение требований	1		1	1	1	1	1	1	1	1	1	0	0	1	1	1	1	1	1	1	1
	к СЗИ	1		1	1	1	1	1	1	1	1	1	0	0	1	1	1	1	1	1	1	1
	к СЗИ
	Осуществление выбора
500средств защиты		1		1	1	1	1	1	1	1	0	0	0	1	1	1	1	1	1	1	1	1
	Внедрение и использование
600выбранных мер и средств		0		0	1	1	0	0	1	1	0	0	1	1	0	0	1	1	0	0	1	1
700	Контроль целостности	1		1	1	1	1	1	1	1	1	0	0	1	1	1	1	1	1	1	1	1
	и управление защитой	1		1	1	1	1	1	1	1	1	0	0	1	1	1	1	1	1	1	1	1
	и управление защитой
	Оценки >>>	0,71		0,71	0,71	0,71	0,86	0,71	0,86	0,86	0,29	0,43	0,29	0,57	0,43	0,71	0,71	0,71	0,71	0,86	0,71	0,86

Рисунок 18 – Матрица качественных оценок

<<< Оценки

0,18

0,15

0,20

0,19

0,16

0,19

Оценки<<<

0,55

0,85

0,15

0,90

0,85

0,50

0,90

Практическое задание

Проведите оценку исходной защищённости объекта информатизации.

Контрольные вопросы

Нарисуйте структуру модели оценки СЗИ.

Опишите принцип формирования матрицы знаний (оценок). Опишите принцип формирования частных оценок защищенности

каналов связи Что называется «Матрица полноты и качества»?

Нарисуйтелогическоедеревовыводаоценкиуровня защищенности ИС.

Лабораторная работа 11.

Изучение методов построения комплексной системы организационных и

технических мер по защите информации

Цель работы: изучить методы построения КСЗИ организационных и технических мер по защите информации.

Теоретическая часть

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.

Существует множество причин и мотивов, по которым одни люди хотят шпионить за другими. Имея немного денег и старание, злоумышленники могут организовать ряд каналов утечки сведений, используя собственную изобретательность и (или) халатность владельца информации. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.

Для построения системы надежной защиты информации необходимо выявить все возможные угрозы безопасности, оценить их последствия, определить необходимые меры и средства защиты, оценить их эффективность. Оценка рисков производится квалифицированными специалистами с помощью различных инструментальных средств, а также методов моделирования процессов защиты информации. На основании результатов анализа выявляются наиболее высокие риски, переводящих потенциальную угрозу в разряд реально опасных и, следовательно, требующих принятия дополнительных мер обеспечения безопасности.

Информация может иметь несколько уровней значимости, важности, ценности, что предусматривает соответственно наличие нескольких уровней ее конфиденциальности. Наличие разных уровней доступа к информации предполагает различную степень обеспечения каждого из свойств безопасности информации – конфиденциальность,

целостность и доступность.

Анализ системы защиты информации, моделирование вероятных угроз позволяет определить необходимые меры защиты. При построении системы защиты информации необходимо строго соблюдать пропорцию между стоимостью системы защиты и степенью ценности информации. И только располагая сведениями о рынке открытых отечественных и зарубежных технических средств несанкционированного съема информации, возможно

определить необходимые меры и способы защиты информации. Это одна из самых сложных задач в проектировании системы защиты коммерческих секретов.

При возникновении различных угроз от них приходится защищаться. Для того чтобы оценить вероятные угрозы, следует перечислить и основные категории источников конфиденциальной информации – это могут быть люди, документы, публикации, технические носители, технические средства обеспечения производственной и трудовой деятельности, продукция, промышленные и производственные отходы и т. д. Кроме того, к возможным каналам утечки информации следует отнести совместную деятельность с другими фирмами; участие в переговорах; фиктивные запросы со стороны о возможности работать в фирме на различных должностях; посещения гостей фирмы; знания торговых представителей фирмы о характеристиках изделия; излишнюю рекламу; поставки смежников; консультации специалистов со стороны; публикации в печати и выступления, конференции, симпозиумы и т. д.; разговоры в нерабочих помещениях; правоохранительные органы; «обиженных» сотрудников предприятия и т. п.

Все возможные способы защиты информации сводятся к нескольким основным методикам:

воспрепятствованиенепосредственномупроникновениюк

источнику информации с помощью инженерных конструкций технических

средств		охраны;

	скрытие достоверной информации;

предоставление ложной информации. Упрощенно принято выделять две формы восприятия информации –

акустическую и зрительную (сигнальную). Акустическая информация в потоках сообщений носит преобладающий характер. Понятие зрительной информации весьма обширно, поэтому ее следует подразделять на объемно-

видовую и аналогово-цифровую.

Самыми распространенными способами несанкционированного получения конфиденциальной информации являются:

прослушивание помещений с помощью технических средств;

наблюдение (в т. ч. фотографирование и видеосъемка);

перехват информации с использованием средств радиомониторинга информативных побочных излучений технических средств;

		хищение носителей информации и производственных отходов;
		чтение остаточной информации в запоминающих	устройствах

системы после выполнения санкционированного запроса, копирование носителей информации;

несанкционированное

использование

терминалов

зарегистрированных пользователей с помощью хищения паролей;

внесение изменений, дезинформация, физические и программные

методы разрушения (уничтожения) информации. Современная концепция защиты информации, циркулирующей в

помещениях или технических системах коммерческого объекта, требует не периодического, а постоянного контроля в зоне расположения объекта. Защита информации включает в себя целый комплекс организационных и технических мер по обеспечению информационной безопасности

техническими средствами. Она должна решать такие задачи, как: предотвращение доступа злоумышленника к источникам

информации с целью ее уничтожения, хищения или изменения;

защита носителей информации от уничтожения в результате различных воздействий;

предотвращение утечки информации по различным техническим каналам .

Способы и средства решения первых двух задач не отличаются от

способов и средств защиты любых материальных ценностей, третья задача

решается исключительно способами и средствами инженерно-технической

защиты информации.

Разработка и внедрение комплексных систем защиты информации

Разработка и внедрение системы защиты информации осуществляется

соответствии с требованиями Федерального закона РФ от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и защите информации" и нормативными документами РФ в области защиты информации, с последующей аттестацией в системе сертификации ФСТЭК России.

Цели и задачи, решаемые в ходе оказания услуг Основной целью выполнения работ является обеспечение соответствия

объекта информатизации (ОИ) организации требованиям Федерального закона РФ № 149-ФЗ "Об информации, информационных технологиях и защите информации".

ходе выполнения работ решаются следующие задачи: разрабатываются методическое руководство и конкретные

требования по защите информации;

разрабатывается аналитическое обоснование необходимости создания системы защиты информации (СЗИ);

согласовывается выбор основных и вспомогательных технических средств и систем (ОТСС и ВТСС), технических и программных средств

защиты информации (ЗИ);

организуются работы по выявлению возможных каналов утечки

информации и нарушения целостности защищаемой информации, производится аттестация объекта информатизации.

Этапы создания системы защиты информации:

1. Предпроектный этап, включающий предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание

Работы, выполняемые на предпроектном этапе:

устанавливаетсянеобходимостьобработки(обсуждения) информации на данном объекте информатизации или защищенном

помещении (ЗП);

определяется перечень сведений конфиденциального характера,

подлежащих защите;определяются (уточняются) угрозы безопасности информации и

модель вероятного нарушителя применительно к конкретным условиям

функционирования объекта;

определяются условия расположения объекта информатизации

относительно границ контролируемой зоны (КЗ);определяются конфигурация и топология ОТСС в целом и их

отдельных компонентов, физические, функциональные и технологические

связи ОТСС с другими системами различного уровня и назначения;определяются конкретные технические средства и системы,

предполагаемые к использованию в разрабатываемой автоматизированной системе ; условия их расположения, их программные средства;

определяются режимы обработки информации в автоматизированной системы в целом и в отдельных компонентах;

определяется класс защищенности автоматизированной системы;

определяется степень участия персонала в информации, характер их

взаимодействия между собой и со службой безопасности;

определяются мероприятия по обеспечению конфиденциальности

информации на этапе проектирования объекта информатизации. По результатам предпроектного обследования разрабатывается

аналитическое обоснование необходимости создания СЗИ и задаются конкретные требования по защите информации, включаемые в техническое

( частное техническое) задание на разработку СЗИ.

2. Проектирование (разработки проектов) систем защиты информации

<<< < Предыдущая 1 2 3 4 5 6 7 8 9 10 11 1213 / 2813 14 15 16 17 18 19 20 21 22 23 24 25 > Следующая >>>