АНАЛИЗ НОРМАТИВНО-ПРАВОВОЙ БАЗЫ ОБЕЧПЕЧЕНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

Разработка эффективных систем защиты информации в автоматизированных системах

Содержание

 

РЕФЕРАТ

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ

ВВЕДЕНИЕ

1. АНАЛИЗ НОРМАТИВНО-ПРАВОВОЙ БАЗЫ ОБЕСПЕЧЕНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

1.1 Общие понятия и определения в области проектирования защищенных автоматизированных систем

1.2 Классификация автоматизированных систем

1.2.1 Особенности АС класса 1

1.2.2 Особенности АС класса 2 и 3

1.2.3 Системы информационной безопасности

1.3 Порядок создания комплексной системы защиты информации

1.3.1 Анализ структуры автоматизированной информационной системы

1.3.2 Определение технического решения

1.3.3 Реализация и эксплуатация КСЗИ

Выводы по разделу 1

2. ОБОСНОВАНИЕ НАПРАВЛЕНИЙ СОЗДАНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

2.1 Оценка необходимости защиты информации от НСД

2.2 Требования к защите информации от НСД в АС

2.2.1 Требования к защите конфиденциальной информации

2.2.2 Требования к защите секретной информации

2.3 Основные принципы защитных мероприятий от НСД в АС

2.4 Математический анализ эффективности защитных мероприятий

Выводы по разделу 2

3. РАЗРАБОТКА МЕТОДИКИ ОЦЕНКИ ЭФФЕКТИВНОСТИ ЗАЩИТНЫХ МЕРОПРИЯТИЙ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

3.1 Общие принципы оценки эффективности защитных мероприятий

3.2 Подход к оценке эффективности защитных мероприятий

Выводы по разделу 3

4. ВЫБОР ПУТЕЙ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ ЗАЩИТНЫХ МЕРОПРИЯТИЙ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

4.1 Выбор контролируемых параметров по максимальным значениям (с учетом защиты канала)

4.2 Выбор контролируемых параметров по заданному коэффициенту готовности

4.3 Выбор контролируемых параметров по максимальному значению вероятности безотказной работы после проведения диагностики

4.4 Оценка оптимального времени между проведением функциональных проверок информационного канала   

Выводы по разделу 4

5. РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО ИСПОЛЬЗОВАНИЮ УСТРОЙСТВ, МЕТОДОВ И МЕРОПРИЯТИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

5.1 Организационные мероприятия

5.1.1 Рекомендации по категорированию информации в информационной системе предприятия

5.1.2 Рекомендации по категорированию пользователей информационной системы предприятия

5.2 Инженерно-технические мероприятия

5.2.1 Рекомендации по устранению несанкционированного использования диктофона

5.2.2 Рекомендации по защите информации постановкой помех

5.3 Рекомендации по защите информации, обрабатываемой в автоматизированных системах

Выводы по разделу 5

ОХРАНА ТРУДА

Методы защиты от электромагнитных полей

Электробезопасность

ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ

ВЫВОДЫ И РЕКОМЕНДАЦИИ

СПИСОК ИСТОЧНИКОВ

ПРИЛОЖЕНИЕ А. Основные инструкции и правила для пользователей и обслуживающего персонала

А.1 Инструкция пользователя по соблюдению режима информационной безопасности

А.1.1 Общие требования

А.1.2 Работа в автоматизированной информационной системе

А.2 Инструкция по безопасному уничтожению информации и оборудования

А.3 Правила парольной защиты

А.4 Правила защиты от вредоносного программного обеспечения

А.5 Правила осуществления удаленного доступа

А.6 Правила осуществления локального доступа

ПРИЛОЖЕНИЕ Б. Рекомендуемые современные средства поиска от утечки и защиты информации в помещениях

Комплекс контроля радиоэлектронной обстановки и выявления средств несанкционированного съема информации ТОР

Анализатор проводных коммуникаций LBD-50

Комплекс виброакустической защиты объектов информатизации 1-й категории БАРОН

Телефонный модуль для комплексной защиты телефонной линии от прослушивания ПРОКРУСТ-2000

Система защиты информации Secret Net 4.0

РЕФЕРАТ

 

Пояснювальна записка до випускної кваліфікаційної роботи спеціаліста «Розробка ефективних систем захисту інформації в автоматизованих системах» складається з 117 стор., містить 11 малюнків, 7 таблиць, перелік посилань з 43 найменувань.

Об’єкт дослідження – комплексна система захисту інформації в автоматизованих системах.

Метод дослідження – системний аналіз методів та засобів захисту інформації від витоку.

В результаті виконання ВКР спеціаліста проаналізовано: нормативно-правову базу та сучасні підходи в галузі проектування комплексних систем захисту інформації, запропоновано підхід щодо оцінки ефективності проведення захисних заходів в автоматизованих системах, проведений математичний аналіз ефективності захисних заходів, запропоновані шляхи щодо покращення захисних заходів від НСД в автоматизованих системах. Розроблені рекомендації щодо методів організаційного та інженерно-технічного захисту інформації в автоматизованих системах

Результати виконаної ВКР спеціаліста рекомендується використовувати для досліджень, що проводяться студентами в навчальному процесі та для обґрунтування системи захисту інформаційної системи на підприємстві.

Ключові слова:     АВТОМАТИЗОВАНА СИСТЕМА, ІНФОРМАЦІЙНА БЕЗПЕКА, КОМПЛЕКСНА СИСТЕМА.

ABSTRACT

 

Explanatory message to final qualifying work of specialist «Development of the effective systems of priv in CASS» consists of 117 р., contains 11 pictures, 7 tables, list of references from 43 names.

A research object is the complex system of priv in CASS.

A research method is an analysis of the systems of methods and facilities of priv from a source.

As a result of implementation of final qualifying work of specialist is analyzed: normatively legal base and modern approaches in industry of planning of the complex systems of priv, offered approach in relation to the estimation of efficiency of lead through of protective measures in CASS, the mathematical analysis of efficiency of protective measures is conducted, offered ways in relation to the improvement of protective measures from NSD in CASS. The developed recommendations are in relation to the methods of organizational and technical priv in CASS

The results of executed final qualifying work of specialist it is recommended to draw on for researches which are conducted students in an educational process and for the ground of the system of defense of the informative system on an enterprise.

Keywords:     CAS, INFORMATIVE SAFETY, COMPLEX SYSTEM.

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ

 

АИС (АС) – Автоматизированная информационная система

ВТСС – Вспомогательные технические средства и системы

ГСССЗИ – Государственная служба специальной связи и защиты информации

ЗМ – Защитные мероприятия

ЗП – Защищаемое помещение

ИТС – Информационно-телекоммуникационная система

КЗ – Контролируемая зона

КСЗИ – Комплексная система защиты информации

НСД – Несанкционированный доступ

ОТСС – Основные технические средства и системы

СВТ – Средства вычислительной техники

СИБ – Системы информационной безопасности

СЗИ – Системы защиты информации

ТЗ – Техническое задание

ТРП – Техническо-рабочий проект

ЭВМ – Электронно0вычислительная машина

 

ВВЕДЕНИЕ

 

Информационная безопасность – сравнительно молодая, быстро развивающаяся область информационных технологий. Словосочетание информационная безопасность в разных контекстах может иметь различный смысл. Состояние защищенности национальных интересов в информационной сфере определяется совокупностью сбалансированных интересов личности, общества и государства.

Под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Вместе с тем, защита информации – это комплекс мероприятий направленных на обеспечение информационной безопасности.

С методологической точки зрения правильный подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.

Говоря о системах безопасности, нужно отметить, что они должны не только и не столько ограничивать допуск пользователей к информационным ресурсам, сколько определять и делегировать их полномочия в совместном решении задач, выявлять аномальное использование ресурсов, прогнозировать аварийные ситуации и устранять их последствия, гибко адаптируя структуру в условиях отказов, частичной потери или длительного блокирования ресурсов.

Не стоит, однако, забывать об экономической целесообразности применения тех или иных мер обеспечения безопасности информации, которые всегда должны быть адекватны существующим угрозам.

Параллельно с развитием средств вычислительной техники и появлением все новых способов нарушения безопасности информации развивались и совершенствовались средства защиты. Необходимо отметить, что более старые виды атак никуда не исчезают, а новые только ухудшают ситуацию. Существующие сегодня подходы к обеспечению защиты информации несколько отличаются от существовавших на начальном этапе. Главное отличие современных концепций в том, что сегодня не говорят о каком-то одном универсальном средстве защиты, а речь идет о КСЗИ, включающей в себя:

- нормативно-правовой базис защиты информации;

- средства, способы и методы защиты;

- органы и исполнителей.

Другими словами, на практике защита информации представляет собой комплекс регулярно используемых средств и методов, принимаемых мер и осуществляемых мероприятий с целью систематического обеспечения требуемой надежности информации, генерируемой, хранящейся и обрабатываемой на объекте АС, а также передаваемой по каналам. Защита должна носить системный характер, то есть для получения наилучших результатов все разрозненные виды защиты информации должны быть объединены в одно целое и функционировать в составе единой системы, представляющей собой слаженный механизм взаимодействующих элементов, предназначенных для выполнения задач по обеспечению безопасности информации.

Более того, КСЗИ предназначена обеспечивать, с одной стороны, функционирование надежных механизмов защиты, а с другой - управление механизмами защиты информации. В связи с этим должна предусматриваться организация четкой и отлаженной системы управления защитой информации.

Приведенные факты делают проблему проектирования эффективных систем защиты информации актуальной на сегодняшний день.

В данной работе рассмотрены основные принципы создания КСЗИ для АИС.

Целью работы является «Исследование современных систем защиты информации в АС».

Для достижения поставленной цели, в ходе выполнения работы решались следующие задачи:

- анализ нормативно-правовой базы обеспечения защиты информации в АС, а также проектирования защищенных АС;

- исследование степени защищенности современных АС с последующей оценкой эффективности ее защитных мероприятий;

- выбор путей повышения эффективности защитных мероприятий в АС;

- разработка рекомендаций по использованию защитных мероприятий в АС.

Таким образом, объектом исследования является защищенная АС, а предметом – используемые защитные мероприятия.

Наряду с существующими нормативно-правовыми документами [1–5,7-8,10-14] теоретическую базу исследований составляют труды известных ученых в области защиты информации от утечки по техническим каналам: В.В. Домарева [21], А.А. Хорева [38-40] и др.

Практические результаты основываются на исследовании эффективности организационных и инженерно-технических мероприятий по защите информации в АС.

Квалификационная работа специалиста состоит из введения, пяти разделов, заключения, списка использованной литературы и приложений.

В первом разделе проводиться анализ современной нормативно-правовой базы в области защиты информации, а также проектирования защищенных АС. Также был проанализирован современный метод построения КСЗИ, в соответствии с нормативными документами технической защиты информации Украины.

Во втором разделе были проанализированы основные принципы защитных мероприятий в АС для дальнейшего повышения их эффективности. В основе данного анализа была проведена оценка необходимости защиты информации от НСД, на основании которой были определены требования по защите информации от НСД. На основании таких требований и формируются защитные мероприятия для конкретных АС, а проведенный математический анализ эффективности таких мероприятий позволяет улучшать качество и надежность системы защиты.

В третьем разделе были рассмотрены общие принципы их оценки эффективности. На основании этого была предложена методика оценки эффективности защитных мероприятий, использование которой предполагает лишь наличие данных о необходимых требованиях защищённости и данных о полноте выполнения этих требований.

В четвертом разделе предложены возможные пути оптимизации защитных мероприятий в АС. В качестве такой оптимизации рассматривается выбор контролируемых параметров по различных показателям эффективности.

Пятый раздел содержит разработанные рекомендации по улучшению организационных и инженерно-технических мероприятий по защите информации в АС.

В заключении приведены основные результаты исследований.

Список использованной литературы содержит 41 наименование.

В приложении содержатся материалы иллюстративного характера, фотографии и технические характеристики некоторых защитных устройств, а также приведен ряд инструкций и правил для пользователей и обслуживающего персонала.

 

АНАЛИЗ НОРМАТИВНО-ПРАВОВОЙ БАЗЫ ОБЕЧПЕЧЕНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

 

Бурный рост конфиденциальной и коммерческой информации, а также существенное увеличение фактов ее хищения вызывает повышенный интерес все большего числа организаций к созданию собственных защищенных информационных систем.

Проектирование защищенных информационных систем процесс довольно сложный, который предполагает наличие соответствующих знаний и опыта, у ее создателей.

Потребитель может не вникать в разработку такого проекта и подробности его развития, однако он обязан контролировать каждый его этап на предмет соответствия техническому заданию и требованиям нормативных документов. В свою очередь, персональный опыт проектировщиков требует использования существующих нормативных документов в данной области для получения наиболее качественного результата.

Таким образом, процесс проектирования защищенных информационных систем должен основываться на знании и строгом выполнении требований существующих нормативных документов, как со стороны ее разработчиков, так и со стороны заказчиков.