Разработка системы защиты информации объекта информатизации Марийского филиала ОАО АКБ СВЯЗЬ-Банк от технической разведки и утечки информации по ПЭМИН - файл n2.doc

Разработка системы защиты информации объекта информатизации Марийского филиала ОАО АКБ СВЯЗЬ-Банк от технической разведки и утечки информации по ПЭМИН
Скачать все файлы (2130.6 kb.)

Доступные файлы (2):
Recenzie_Kiverin.doc35kb.17.06.2005 10:04скачать
n2.doc3901kb.16.06.2005 15:10скачать

n2.doc

  1   2   3   4   5   6   7   8   9   ...   18
Содержание

Введение

  1. Постановка задачи

  2. Аналитическая часть

    1. Методика построения системы защиты информации

      1. Модель и стадии создания систем защиты информации

      2. Основы построения систем защиты информации

      3. Структура и задачи подразделений, осуществляющих комплексную защиту информации

    2. Защищаемые информационные ресурсы объекта информатизации

    3. Обследование объекта защиты

      1. Объект информатизации

      2. Описание существующей системы обработки информации

    4. Анализ уязвимости объекта от технической разведки

      1. Характеристика угроз безопасности информации

      2. Техническая разведка, ее способы и средства

      3. Технические каналы утечки информации

    5. Модель вероятного нарушителя

    6. Анализ рисков

    7. Рекомендаций по обеспечению технической защиты объекта информатизации

      1. Рекомендации по защите информации от утечки по техническим каналам на объектах информатизации

      2. Выявление технических каналов утечки информации

      3. Способы и средства защиты от утечки акустической информации

      4. Способы и средства защиты телефонных переговоров от прослушивания

      5. Способы и средства защиты от утечки информации по цепям заземления и электропитания

      6. Рекомендации по защите информации от утечки по каналам ПЭМИН

      7. Аттестация объекта информатизации

    8. Обзор и анализ средств защиты объекта информатизации

      1. Устройства поиска технических каналов утечки информации

      2. Устройства защиты от утечки акустической информации

      3. Устройства защиты телефонных переговоров от прослушивания

      4. Устройства защиты от утечки информации по электросети

      5. Устройства защиты от утечки информации по каналам ПЭМИН

  3. Конструкторская часть

    1. Реализация системы защиты объекта информатизации

      1. Необходимые расчеты для реализации системы защиты

      2. Категорирование объекта информатизации

      3. Организация технической защиты объекта информатизации

    2. Конструкторские решения по защите информации на объекте информатизации

  4. Организационно-экономическая часть

    1. Разработка организационных мероприятий по внедрению системы

    2. Расчет стоимости разработки

    3. Оценка текущих эксплуатационных затрат

    4. Описание эффекта от внедрения разработки

    5. Оценка качества разработки

  5. Безопасность жизнедеятельности

    1. Введение

    2. Анализ вредных факторов

    3. Разработка мероприятий по обеспечению требований безопасности жизнедеятельности

    4. Предложения по улучшению рабочих мест операторов ПЭВМ

    5. Расчет искусственного освещения люминесцентными лампами

    6. Заключение

Выводы

Литература

Приложения

Введение

Подавляющее число предприятий и организаций в своих вычислительных корпоративных сетях обрабатывают сведения, составляющие коммерческую тайну. В таких системах необходимый уровень защиты информации в соответствии с Федеральным законом «Об информации, информатизации и защите информации» определяется ее собственниками, то есть руководством компании.

При этом основное внимание уделяется вопросам защиты информации от несанкционированного доступа (НСД), тогда как применение защиты информации от технической разведки и утечки информации по побочным электромагнитным излучениям и наводкам (ПЭМИН) встречается нечасто. Это объясняется тем, что осуществление различных видов НСД, как изнутри корпоративных сетей, так и из внешних сетей, не требует больших затрат, поскольку выполняется с использованием штатных технических средств самих сетей. Вероятность атак за счет НСД очень высока. Организация перехвата информационных сигналов по техническим каналам утечки информации, напротив, требует высоких затрат, так как связана с применением специальных комплексов перехвата. Кроме того, проведение таких атак возможно только при условии расположения аппаратуры перехвата в непосредственной близости от объекта, в отношении которого проводится атака, что не всегда осуществимо на практике. Однако недооценка угроз утечки информации по техническим каналам, несмотря на невысокую вероятность реализации последних, может привести к тому, что они могут стать самым уязвимым звеном в системе информационной безопасности. [№]

Поэтому защите подлежит информация, как речевая, так и обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе.

Таким образом, актуальным вопросом при защите конфиденциальной информации на предприятии является разработка системы защиты объекта информатизации от технической разведки и утечки информации по побочным электромагнитным излучениям и наводкам.

Защищаемым объектом информатизации является Марийский филиал ОАО АКБ «СВЯЗЬ-Банк». Необходимые организационные, физические меры по обеспечению защиты помещений банка уже реализованы. Также на объекте информатизации уже существует система защиты от НСД к информации, криптографическая подсистема защиты, а также защита каналов передачи данных, реализованные программно-аппаратными средствами защиты.

Ухудшение состояния криминогенной обстановки в стране, усиление межрегиональных связей организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к осложнению оперативной обстановки вокруг коммерческих банков в ближайшее будущее сохранится. Также в последнее время наблюдается большая насыщенность различных банковских структур, что приводит к большой конкуренции между коммерческими банками. В настоящее время конкурирующие фирмы, у которых есть для этого необходи­мые денежные средства, имеют в своем вооружении технические средства промышленного шпионажа, которые по пара­метрам не уступают оперативной технике, используемой спецслужбами. Отсюда актуальность рассматриваемой темы для организации комплексной системы защиты Марийского филиала ОАО АКБ «СВЯЗЬ-Банк».

Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в установленном документом Федеральной службы технического и экспертного контроля (ФСТЭК, правопреемник Гостехкомиссии России) «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» порядке в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации.

Защита информации должна осуществляться посредством выполнения комплекса мероприятий и применения (при необходимости) средств защиты информации по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств. [№]

Таким образом, для обеспечения комплексной безопасности Марийского филиала ОАО АКБ «СВЯЗЬ-Банк» необходимо создание системы защиты информации (СЗИ) от утечки по техническим каналам.
1. Постановка задачи

Задачей данного дипломного проекта является разработка системы защиты информации объекта информатизации кредитно-банковской сферы от технической разведки и утечки по ПЭМИН. В качестве объекта информатизации выбран Марийский филиал ОАО АКБ «СВЯЗЬ-Банк». В автоматизированной системе банка обрабатывается конфиденциальная информация: банковская и коммерческая (служебная) тайны, персональные данные.

Безусловно, в банке приняты необходимые меры по обеспечению информационной безопасности, без этого непрерывность деятельности организации было бы трудно обеспечить. Но для организации комплексной безопасности рассматриваемого объекта необходима подсистема защиты от утечки по техническим каналам.

Согласно «СТР-К» конфиденциальная информация должна защищаться от технической разведки и утечки по ПЭМИН.

Таким образом, в ходе разработки дипломного проекта необходимо:


2. Аналитическая часть

2.1. Методика построения системы защиты информации

2.1.1. Модель и стадии создания систем защиты информации

В соответствии со ст. 20 Федерального закона «Об информации, информатизации и защите информации» целями защиты информации являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.

Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ, обеспечении нормальной производственной деятельности всех подразделений объекта. Для этого необходимо:

При выполнении работ можно использовать следующую модель построения корпоративной системы защиты информации (Рис. 1), основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационная технология - методы защиты - критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью» и учитывает тенденции развития отечественной нормативной базы (в частности, ФСТЭК РФ) по вопросам защиты информации. [№]


сохранить


Рис. 1. Модель построения корпоративной системы защиты информации
Представленная модель защиты информации – это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов. Рассматриваются следующие объективные факторы:

Для построения сбалансированной системы информационной безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности предстоит построить таким образом, чтобы достичь заданного уровня риска.
В соответствии со «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации» ФСТЭК устанавливаются следующие стадии создания системы защиты информации:

На предпроектной стадии по обследованию объекта информатизации:

На стадии проектирования и создания объекта информатизации и СЗИ в его составе осуществляются:

Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.

На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния защиты информации.
Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке и хранении, при ее передаче по каналам связи.



Рис. 2. Вариант представления СЗИ
Основными направлениями защиты информации являются (Рис. 2):


Применимо к данному курсовому проекту, стадии разработки системы защиты информации будут рассматриваться в сфере технической защиты объекта информатизации.

Описанные выше стадии создания СЗИ предполагают комплексную разработку системы защиты. В нашем случае предполагается, что на объекте информатизации уже существует подсистема защиты от НСД, система защиты информации при передаче по каналам связи и т.п. Поэтому некоторые необходимые этапы разработки комплексной системы защиты уже произведены, и в рамках данного проекта будет рассмотрена защита информации от утечки по техническим каналам.

  1   2   3   4   5   6   7   8   9   ...   18
Учебный текст
© perviydoc.ru
При копировании укажите ссылку.
обратиться к администрации