- •Введение
- •1 Общие сведения о физической защите информации
- •1.1 Определение активов, угроз и уязвимостей
- •1.2 Угрозы физической безопасности
- •1.3 Физическая безопасность в информационной безопасности
- •1.4 Нормативно-правовая основа создания системы физической защиты информации
- •Выводы раздела 1
- •2 Характеристика угроз физической безопасности объекта информатизации
- •2.1 Описание объекта информатизации
- •2.2 Анализ уязвимости объекта информатизации
- •2.3 Описание существующих технологий физической защиты информации объекта информатизации
- •2.4 Разработка модели нарушителя информационной безопасности
- •2.5 Разработка модели угроз информационной безопасности
- •Выводы раздела 2
- •3 Разработка системы физической защиты информации объекта информатизации
- •3.1 Комплекс средств и сил физической защиты информации. Организационные мероприятия и локальные нормативные акты
- •3.2 Комплекс средств контроля доступа для физической защиты информации объекта информатизации
- •3.3 Комплекс средств наблюдения для физической защиты информации объекта информатизации
- •3.4 Оценка защищенности объекта информатизации с учетом разработанных предложений
- •3.5 Расчет экономической эффективности внедрения системы физической защиты информации
- •Выводы раздела 3
- •Заключение
- •Список использованных источников
- •Список сокращений
- •Приложение а Планы этажей корпуса IV Университета СевГу
- •Приложение б Звукоизоляция конструкций
- •Приложение в Взаимосвязь видов и способов дестабилизирующего воздействия на защищаемую информацию с его источниками
2.3 Описание существующих технологий физической защиты информации объекта информатизации
В Университете задачи по защите информации возложены на IT-отдел. Комплексной политики безопасности пока не разработано, так не было проведено полное исследование информационных угроз.
Специалисты IT-отдела настроили локальную сеть, раздали всему персоналу пароли. Не была предусмотрена обязательная периодическая смена паролей. Уровни доступа не были учтены. Система контроля и руководства доступом планировалась к разработке, но так и не была полностью сконфигурирована.
Результаты оценки системы безопасности информации отражены в таблице 2.2.
Таблица 2.2 — Анализ выполнения задач по обеспечению информационной безопасности
Задачи по обеспечению информационной безопасности |
Степень выполнения |
обеспечение безопасности деятельности Университета, защита информации и сведений, которые являющихся коммерческой тайной; |
На уровне защиты сети от несанкционированного доступа и действий пользователей защита недостаточна. Журналы событий настроены недостаточно прозрачно. Правильное разграничение прав пользователей не проведено. |
Окончание таблицы 2.2
Задачи по обеспечению информационной безопасности |
Степень выполнения |
организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной) защите коммерческой тайны; |
От внешних физических угроз информация защищена недостаточно хорошо, нет системы охраны периметра, система видеонаблюдения и охранников находятся на недостаточном уровне. |
организация специального делопроизводства, которое исключает несанкционированное получение сведений, которые являются коммерческой тайной; |
Защита документов не организована должным образом. |
предотвращение необоснованного допуска и открытого доступа к сведениям и работам, которые составляют коммерческую тайну; |
Правильное разграничение прав пользователей не проведено. |
выявление и локализация возможных угроз информации в процессе повседневной деятельности Университета и в экстремальных (авария, пожар и др.) ситуациях; |
От внешних физических угроз информация защищена недостаточно хорошо |
Требуется выполнить моделирование угроз и создать модель нарушителя информационной безопасности на физическом уровне.
2.4 Разработка модели нарушителя информационной безопасности
Источниками угроз несанкционированного физического доступа к информации в Университете могут выступать нарушители. Нарушители случайно или преднамеренно совершающие действия, следствием которых может стать нарушение одного из свойств безопасности информации и привести к угрозам информационной безопасности Университета [1].
Нарушители подразделяются на два типа в зависимости от возможностей доступа к информационной системе:
внешние — лица, которые не имеют права доступа к источникам информации Университета или её отдельным компонентам и реализующие угрозы безопасности информации из-за границ системы;
внутренние — лица, которые имеют право постоянного или разового доступа к источникам информации Университета или к её отдельным компонентам.
Угрозы безопасности информации в Университете могут быть реализованы следующими видами нарушителей [22]:
Внутренние нарушители:
персонал Университета;
представители IT-отдела;
вспомогательный персонал (уборщики, охрана);
технический персонал (жизнеобеспечение, эксплуатация).
Внешние нарушители:
уволенные сотрудники;
криминальные структуры;
потенциальные преступники и хакеры;
недобросовестные партнеры;
технический персонал поставщиков услуг;
представители надзорных организаций и аварийных служб;
представители силовых структур.
Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом.
Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации.
В зависимости от потенциала, требуемого для реализации угроз безопасности информации, нарушители подразделяются [23]:
на нарушителей, которые обладают низким потенциалом нападения при реализации угроз безопасности информации в Университете;
на нарушителей, которые обладают повышенным (средним) потенциалом нападения при реализации угроз безопасности информации в Университете;
на нарушителей, которые обладают высоким потенциалом нападения при реализации угроз безопасности информации в Университете.
Угрозы безопасности информации могут быть реализованы нарушителями за счёт антропогенного, техногенного и социального факторов.
Потенциал нарушителей и их возможности приведены в таблице 2.3.
Таблица 2.3 — Потенциал нарушителей
Потенциал нарушителей |
Виды нарушителей |
Возможности по реализации угроз безопасности информации |
С низким потенциалом |
Персонал Университета (преподавательский состав, руководство);
вспомогательный персонал (уборщики, охрана);
технический персонал (жизнеобеспечение, эксплуатация); представители надзорных организаций и аварийных служб; работники, которые обижены на организацию и её руководителей |
Имеют возможность получить информацию об уязвимостях информационных ресурсов Университета, методах и средствах реализации угроз безопасности информации, опубликованную в общедоступных источниках. Возможны угрозы, которые исходят от практики обмена паролями между сотрудниками, которые выполняют сходные функции. Низкая квалификация персонала, недостаточная для корректной работы с базой данных Университета.
используют только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;
|
Окончание таблицы 2.3
Потенциал нарушителей |
Виды нарушителей |
Возможности по реализации угроз безопасности информации |
|
С повышенным (средним) потенциалом |
Представители IT-отдела: разработчики ПО, администраторы АИС; системные администраторы; производители ПО, технический персонал поставщиков услуг; недобросовестные партнеры
|
Обладают всеми возможностями нарушителей с базовым потенциалом. Имеют осведомленность о мерах защиты информации, применяемых в информационной системе Университета. Имеют возможность получить информацию об уязвимостях отдельных информационных ресурсах Университета. Имеют доступ к сведениям о структурно-функциональных характеристиках и особенностях функционирования информационной системы и портала Университета. |
|
С высоким потенциалом |
Криминальные структуры; потенциальные преступники и хакеры; представители силовых структур.
|
Обладают всеми возможностями нарушителей с базовым и повышенным потенциалами. Имеют возможность осуществлять несанкционированный доступ из выделенных сетей связи, к которым возможен физический доступ. Имеют возможность получить доступ к телекоммуникационному оборудованию и другим программно-техническим средствам Университета для преднамеренного внесения в них уязвимостей или программных закладок. Имеют хорошую осведомленность о мерах защиты информации, применяемых в Университете. Имеют высокую осведомленность о расположении корпусов и внутренних помещений Университета, входов и выходов. |
|