- •Об'єкт дослідження
- •Мета і призначення ксзі Мета створення ксзі
- •Призначення ксзі
- •Нормативно-правові документи, які регламентують порядок захисту інформації
- •Перелік об’єктів, що підлягають захисту:
- •Організаційні заходи щодо керування доступом
- •Організаційні заходи щодо реєстрації та обліку мні та документів
- •Організаційні заходи щодо забезпечення цілісності інформації
- •Організаційні заходи щодо антивірусного захисту інформації
- •Резервне копіювання, архівування та відновлення інформації
- •Експлуатаційні та організаційно-розпорядчі документи
- •Модель загроз
- •Вимоги до комплексної системи захисту інформації.
- •1 Вимоги до захисту інформації від несанкціонованого доступу.
- •Адміністративна конфіденційність
- •Довірча конфіденційність
- •Відновлення після збоїв
- •Реєстрація
- •Ідентифікація та аутентифікація
- •Достовірний канал
- •Розподіл обов’язків
- •Цілісність комплексу засобів захисту
- •2 Вимоги до захисту інформації від витоку технічними каналами
- •3 Вимоги щодо організаційних, інженерно-технічних та інших заходів захисту
- •Вимоги до проектної та експлуатаційної документації.
- •Етапи виконання робіт.
- •Порядок внесення змін і доповнень до тз.
- •Порядок проведення випробувань комплексної системи захисту інформації.
Міністерство освіти і науки України
Національний авіаційний університет
Кафедра засобів захисту інформації
Технічне завдання
на комплексну систему захисту інформації
організації чи установи ЦСК
виконала :студентка СЗ421
Сорока В.В
Перевірив: доцент
Четверіков І.О.
Київ 2011
ЗМІСТ
Сталевий переговорний пристрій. С-20 8
4 ВИМОГИ до КСЗІ АІС ЦСК 10
Вимоги до проектної та експлуатаційної документації. 17
Порядок внесення змін і доповнень до ТЗ. 19
Модель загроз………………………………………………………………………………………………………………………………………………11
Вимоги до комплексної системи захисту інформації. …………………………………………………………………………………11
Адміністративна конфіденційність ………………………………………………………………………………………………………………13
Відновлення після збоїв………………………………………………………………………………………………………………………………..14
Реєстрація………………………………………………………………………………………………………………………………………………………14
Ідентифікація та аутентифікація……………………………………………………………………………………………………………………14
Розподіл обов’язків……………………………………………………………………………………………………………………………………….15
Цілісність комплексу засобів захисту……………………………………………………………………………………………………………15
Вимоги до проектної та експлуатаційної документації. ……………………………………………………………………………..17
Етапи виконання робіт. ……………………………………………………………………………………………………………………………….17
Висновки……………………………………………………………………………………………………………………………………………………….19
Додаток 1………………………………………………………………………………………………………………………………………………………19
ВСТУП
технічний захист інформації (ТЗІ) – діяльність, спрямована на:
-
забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації;
-
своєчасне виявлення і протидію загрозам безпеці інформації з обмеженим доступом (ІзОД)[1].
Cистема ТЗІ – сукупність суб’єктів, об’єднаних цілями та завданнями захисту інформації інженерно-технічними заходами, нормативно-правова та їхня матеріально-технічна база.
Комплексна система захисту інформації (КСЗІ) – сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС;
Технічне завдання на створення КСЗІ в АС (ТЗ на КСЗІ) є засадничим організаційно-технічним документом для виконання робіт щодо забезпечення захисту інформації в системі.
Технічне завдання на КСЗІ розробляється у разі необхідності розробки або модернізації КСЗІ існуючої (що функціонує) АС. В разі розробки КСЗІ в процесі проектування АС допускається оформлення вимог з захисту інформації в АС у вигляді окремого (часткового) ТЗ, доповнення до загального ТЗ на АС або розділу загального ТЗ на АС.
Технічне завдання на КСЗІ повинно розробляється з урахуванням комплексного підходу до побудови КСЗІ, який передбачає об’єднання в єдину систему всіх необхідних заходів і засобів захисту від різноманітних загроз безпеці інформації на всіх етапах життєвого циклу АС.
В технічному завданні на КСЗІ викладаються вимоги до функціонального складу і порядку розробки і впровадження технічних засобів, що забезпечують безпеку інформації в процесі її оброблення в обчислювальній системі АС. Додатково треба викласти вимоги до організаційних, фізичних та інших заходів захисту, що реалізуються поза обчислювальною системою АС у доповнення до комплексу програмно-технічних засобів захисту інформації.
Перелік вимог з захисту інформації, які включаються в ТЗ на КСЗІ, може бути для кожної конкретної АС як розширений, так і скорочений відносно рекомендованого в даному документі переліку в рамках діючих законодавчих і нормативних документів.
Вимоги повинні передбачати розроблення та використання сучасних ефективних засобів і методів захисту, які дають можливість забезпечити виконання цих вимог з найменшими матеріальними затратами.
Технічне завдання на КСЗІ є одним із обов’язкових засадничих документів під час проведення експертизи АС на відповідність вимогам захищеності інформації.
Об'єкт дослідження
Об'єкт дослідження на якому створюється система ТЗІ це 3 кімната на другому поверсі двоповерхової будівлі, далі «кімната для нарад №3». Ця кімната використовується для проведення конференцій, семінарів, нарад тощо. ОТЗ, які знаходяться в цій кімнаті це ПЕОМ, принтер, комп’терний проектор, серед ДТЗС слід виділити внутрішню АТС. Форми ІзОД, які циркулюють в цій кімнаті – це мовна та цифрова в АС. Ця кімната входить в межі контрольованої території, яка охоплює також і суміжню з нею кімнату №2.
Мета і призначення ксзі Мета створення ксзі
Метою створення КСЗІ є виявлення та протидія загрозам безпеці інформації з обмеженим доступом (ІзОД), що обробляється та зберігається в автоматизованій інформаційній системі ЦСК в усіх режимах її функціонування, з метою попередження порушення конфіденційності, цілісності та доступності ІзОД.
КСЗІ повинна створюватися відповідно до вимог із захисту інформації від НСД та технічного захисту інформації і є комплексом програмних і технічних засобів та організаційних заходів.
Призначення ксзі
КСЗІ повинна забезпечувати виконання наступних завдань:
-
розмежування та контроль доступу користувачів АІС ЦСК згідно їх повноважень до ІзОД установи та ресурсів АІС ЦСК;
-
реєстрацію даних про події, що відбуваються в системі і мають відношення до безпеки інформації;
-
підтримку цілісності середовища виконання прикладних програм та ІзОД, що повинна оброблятися в АІС ЦСК в цілому;
-
виявлення уразливостей в операційних системах;
-
захист від атак порушників безпеки;
-
захист від проникнення і поширення комп'ютерних вірусів;
-
захист інформації під час передачі телекомунікаційним середовищем;
-
контроль за функціонуванням КСЗІ.
Нормативно-правові документи, які регламентують порядок захисту інформації
Розробка комплексної системи захисту інформації в інформаційній автоматизованій системі ПП «Біпер» виконується на підставі Статуту підприємства, а також “Положення про технічний захист інформації в Україні”, затвердженого Указом Президента України від 27 вересня 1999 року №1229
Законів України:
-
Про інформацію;
-
Про захист інформації в інформаційно-телекомунікаційних системах.
Нормативно-правових актів, затверджених Указами Президента України та постановами Кабінету Міністрів України
Державних стандартів та інших нормативних документів з стандартизації:
-
ДСТУ 3396.0-96. Технічний захист інформації. Основні положення.
-
ДСТУ 3396.1-96. Технічний захист інформації. Порядок проведення робіт.
Нормативних документів системи технічного захисту інформації в Україні.
Визначення переліку об’єктів, які підлягають захисту. Побудова моделей об’єктів.
Перелік об’єктів, що підлягають захисту:
1. Інформаційні ресурси:
1.1. Інформація стосовно соціологічних досліджень та опитувань
1.2. інформація для службового користування
2. Матеріальні (фінансові) ресурси:
2.1. Основні технічні засоби (ОТЗ):
2.1.1. Чотири персональні комп’ютери;
2.1.2 Локальна мережа з виходом в Інтернет;
2.1.3. Зовнішній модем,
2.1.3. Виділена телефонна лінія між філією та центральним офісом;
2.1.5. Сигнальні лінії мережі Ethernet
2.2. Технічні засоби передачі інформації (ТЗПІ):
2.2.1. Переговорний пристрій,
2.2.2. Внутрішня МініАТС;
2.2.3. Системний телефон;
2.2.4. Телефони підключені до МініАТС;
2.2.5. Телефакс;
2.2.6. Сканер;
2.2.7. Система супутникового телебачення (НВЧ-конвертор, параболічна антена, ВЧ-кабель, тюнер);
2.3. Допоміжні технічні засоби і системи (ДТЗС):
2.3.1. Лінії пожежної сигналізації;
2.3.2. Кабелі телефонного зв’язку;
2.3.3. Лінії мережі електроживлення;
2.3.4. Чотири лампи денного світла;
2.3.5. Сторонні незадіяні дроти;
2.4. Зовнішні об’єкти (ЗО):
2.4.1. Вікна.
2.4.2. Двері.
2.4.3. Каналізаційний люк.
2.4.4. Люк водопостачання.
2.4.5. Трансформаторний підсилювач.
2.4.6. Автостоянки.
2.4.7. Огорожа.
3. Персонал.
3. Загальна характеристика АВТОМАТИЗОВАНОЇ СИСТЕМИ УСТАНОВИ і умов її функціонування
Технічні характеристики каналів зв’язку
Вита пара (экранована), 100/10/1000 Мбит/с , звязок з користувачами через глобальну мережу, звязок з робочими станціями (РС) через локальну мережу (ЛОМ).
Характеристики інформації, що обробляється
В автоматизованій інформаційній системі обробляється конфіденційна інформація. Вищий гриф секретності – для службового користування. До конфіденційної інформації відносяться результати обслуговування сертифікатів та надання інших послуг (ЕЦП, фіксування часу, електронного нотаріату та ін.).
Характеристики персоналу
3 користувача, гриф – для службового користування.
Характеристики фізичного середовища
Кімната без вікон, штучне освітлення, одні двері, вздовж стінки спеціалізоване обладнання, вздовж протилежної (лівої-правої) від дверей, робоча температура 20 градусів С, мінімальний вплив навколишнього середовища. В наявності є засоби захисту від тех. розвідки СЗИ „Айс”, „Лоза” АС класу 2 – ЗІ від НД для ЛОМ, Захист від витоку інф. по каналам ЕМВ і 220В – SEL SP-113 “Блокада” , система шифрування Ethernet Encryption HC – 8555 10G від Crypto AG, як альтернатива екранування кімнати, кабель 4×0.22 екран, комплект коробів та кабелів.
Загальна технічна характеристика АС
Об’єкт захисту |
Характеритика |
ДДжерелазагроз |
Ступень Важливості |
Персональний комп’ютер |
Intel Сeleron 2.8; ATX; 512 Mb DDR2; ATI Radeon 9600Pro; 120 Gb HDD; Lite-On DVD-RW ; Samsung LCD 17" |
Апаратура,персонал, програми |
Найвищий |
Локальна мережа з виходом в Інтернет |
4 Персональнихкомпютераз’єднаних кабелем"вита пара” з виходом в Інтернет через зовнішній модем |
Середовище, програми,апаратура |
Високий |
Зовнішній модем |
Zyxel 56K |
апаратура |
середній |
Виділена телефонна лінія між філією та центральним офісом |
Телефонна лінія розрпхована на 128 користувачів; загальна кількість каналів використаних на даний момент користувачами 45 |
Середовище,апаратура |
середній |
Сигнальні лінії мережі Ethernet |
50 метрів кабелю 10Base-T |
Середовище,апаратура |
середній |
Переговорний пристрій |
Сталевий переговорний пристрій. С-20 |
апаратура, персонал |
високий |
Внутрішня МініАТС |
Мiнi АТС 6*16 KX-TEM824UA |
апаратура, |
високий |
Системний телефон; |
системний телефон Panasonic KX-T7240 |
апаратура, |
високий |
Телефони підключені до МініАТС |
ТЕЛЕФОН GE CE2-7850-GE DECT |
апаратура,персонал |
високий |
Телефакс |
ФАКС PANASONIC KX-FT908UA-B BLACK |
апаратура,персонал |
високий |
Сканер |
Сканер HP ScanJet 4070 |
Персонал, апаратура |
середній |
Система супутникового телебачення (НВЧ-конвертор, параболічна антена, ВЧ-кабель, тюнер) |
ВЧ-кабель – EUPEN EC7-50 (5438) Антенна параболічна GL24110PR24 Модель зовнішнього ТВ-тюнера от AverMedia - AverTV BOX9. НВЧ – конвертор ПС-3600,
|
Персонал, апаратура, середовище, програми |
Середній |
Лінії пожежної сигналізації |
ПВС 2х1.5 |
Середовище, апаратура |
Середній |
Кабелі телефонного зв’язку |
Телефонний кабель |
Середовище, апаратура |
Середній |
Лінії мережі електроживлення |
Кабелі електроживлення, систем відео нагляду, сигналізації та ін. |
Середовище, апаратура |
Середній |
Чотири лампи денного світла |
Енергозберігаючі лампи розжарення ES–GLP 69W |
Апаратура |
Низький |
Сторонні незадіяні дроти |
різного виду не задіяні дроти |
Апаратура |
Низький |
Вікна |
12 ударостійких вікон класу СУ-3 |
Середовище, апаратура, персонал |
Середній |
Двері |
9 дверей (Коробка зі швелера 100мм 2 листа металу 3+1,5мм кутник 40-50мм теплоізоляція ROCKWOOL сотова конструкція антизрізи на петлі 2 прошарка гумового ущільнювача)
|
Середовище, апаратура, персонал |
Вискоий |
Особливості функціонування АС
В аренду не надається.
Особливості реалізованих або припустимих заходів організаційних, фізичних та інших заходів захисту
Пожежна та охоронна сигналізації є в наявності.
Клас АС
Згідно документа «НД ТЗI 2.5-005-99 автоматизована система ЦСК відноситься до класу 2 – локалізований багатомашинний багатокористувацький комплекс, який обробляє інформацію різних категорій конфіденційності.
4 ВИМОГИ до КСЗІ АІС ЦСК
Вимоги до організаційних заходів захисту інформації
Організаційні заходи повинні складати невід’ємну частину КСЗІ, запобігати і блокувати певну частину загроз безпеці інформації і поєднувати в єдину систему усі засоби захисту. Дані заходи повинні бути описані в документації на КСЗІ і підтримуватися на етапі експлуатації АІС ЦСК.
Для безпосередньої організації і ефективного функціонування КСЗІ АІС ЦСК повинна бути створена служба захисту інформації та розроблені відповідні організаційно-розпорядчі документи щодо захисту інформації.