Адекватная политика безопасности

Автор работы: Пользователь скрыл имя, 19 Января 2012 в 14:23, курсовая работа

Описание

Цели и защиты информации являются:
• предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям;
• предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
• предотвращение других форм незаконно вмешательства в информационные ресурсы и информационные системы;
• обеспечение правового режима документированной информации как объекта собствен-ности;

Содержание

Введение……………………………………………………………………………..4
1 Обзор источников информации по теме курсового проекта……………….......6
2 Описание предприятия…………………………………………… ……………. 7
3 Описание угроз информационной безопасности предприятия…………….…14
4 Классификация автоматизированных систем предприятия…………………..18
5 Модель нарушителя……………………………………………………………...22
6 Матрица доступа…………………………………………………………………28
7 Уровень режима обработки данных……………………………………………30
8 Средства защиты информации………………………………………………….32
Заключение………………………………………………………………...……….34 Приложение А. Тестирования предприятия с помощью программы «Кондор +» ……………………………………………………………………………............…35
Приложение Б. Тестирование предприятия с помощью программы Сканер XP……………………………………………………………………..…………….38
Список использованных источников…………………………………………..…40

Скачать (622.79 Кб) Сколько стоит заказать работу?
Работа состоит из  1 файл

курсовая - Черенев.doc

— 1.08 Мб (Скачать документ)
 
 
 
 
  1. Безопасности информации в АС;
  2. Применение системы  защиты  не должно ухудшать экологическую  обстановку,  не быть сложной  для пользователя, не вызывать  психологического противодействия  и желания обойтись без нее.

    Классификация АС

1.1 Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.

1.2 Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.

1.3 Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.

1.4 Основными этапами классификации АС являются:

    1. Разработка и анализ исходных данных;
    2. Выявление основных признаков АС, необходимых для классификации;

    1. Сравнение выявленных признаков АС с классифицируемыми;
    2. Присвоение АС соответствующего класса защиты информации от НСД.

1.5 Необходимыми исходными данными для проведения классификации конкретной АС являются:

    1. перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
    2. перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
    3. матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
    4. режим обработки данных в АС.

1.6 Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.

1.7 К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

  1. Наличие в АС информации различного уровня конфиденциальности;
  2. Уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
 
 
 
 
  1.  Режим обработки данных в АС - коллективный или индивидуальный.

1.8 Устанавливается девять классов защищенности АС от НСД к информации.

    Каждый  класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

    В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

    Третья  группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.

    Вторая  группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

    Первая  группа включает многопользовательские  АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

    Требования  по защите информации от НСД для АС

2.1 Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.

2.2 В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

  1. Управления доступом;
  2. Регистрации и учета;
  3. Криптографической;
  4. Обеспечения целостности.
 
 
 
 
 
 
 
 

Таблица 1 – Классы защищенности

Подсистемы и требования Классы
1. Подсистема  управления доступом                  
1.1. Идентификация,  проверка подлинности и контроль доступа субъектов в систему + + + + + + + + +
К терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ       +   + + + +
К программам       +   + + + +
К томам, каталогам, файлам, записям, полям записей       +   + + + +
1.2. Управление  потоками информации       +     + + +
2. Подсистема  регистрации и учета                  
2.1. Регистрация  и учет: входа/выхода субъектов доступа в/из системы (узла сети)     + + + + + + +
Выдачи  печатных (графических) выходных документов       +   + + + +
Запуска/завершения программ и процессов (заданий, задач)       +   + + + +
Доступа программ субъектов к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи       +   + + + +
Доступа программ субъектов, доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей       +   + + + +
Изменения полномочий субъектов доступа             + + +
создаваемых защищаемых объектов доступа       +     + + +
2.2. Учет  носителей информации     + + + + + + +
2.3. Очистка  (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей       +   + + + +
2.4. Сигнализация  попыток нарушения защиты             + + +
3. Криптографическая  подсистема                  
3.1. Шифрование  конфиденциальной информации       +       + +
3.2. Шифрование  информации, принадлежащей различным  субъектам доступа (группам субъектов) на разных ключах                 +
3.3. Использование  аттестованных (сертифицированных) криптографических средств       +       + +
4. Подсистема  обеспечения целостности                  
4.1. Обеспечение  целостности программных средств  и обрабатываемой информации     + + + + + + +
4.2. Физическая  охрана средств вычислительной  техники и носителей информации     + + + + + + +
4.3. Наличие  администратора (службы) защиты информации в АС       +     + + +
4.4. Периодическое  тестирование СЗИ НСД     + + + + + + +
4.5. Наличие средств восстановления СЗИ НСД     + + + + + + +
4.6. Использование  сертифицированных средств защиты       +     + + +
 
 
 

5 Модель нарушителя

    Модель  нарушителя – абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа.

    Модель  нарушителя определяет:

  • категории (типы нарушителей), которые могут воздействовать на объект;
  • цели, которые могут преследовать нарушители каждой категории, возможный количественный состав, используемые инструменты, принадлежности, оснащение, оружие и другое;
  • типовые сценарии возможных действий нарушителей, описывающие последовательность (алгоритм) действий групп и отдельных нарушителей, способы их действий на каждом этапе;

   Содержательная  модель нарушителей отражает систему принятых руководством объекта, ведомства взглядов на контингент потенциальных нарушителей, причины и мотивацию их действий, преследуемые цели и общий характер действий в процессе подготовки и совершения акций воздействия.

   Математическая  модель воздействия  нарушителей представляет собой формализованное описание сценариев в виде логико-алгоритмической последовательности действий нарушителей, количественных значений, параметрически характеризующих результаты действий, и функциональных (аналитических, численных или алгоритмических) зависимостей, описывающих протекающие процессы взаимодействия нарушителей с элементами объекта и системы охраны. Именно этот вид модели используется для количественных оценок уязвимости объекта и эффективности охраны.

   Нарушитель – это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

   Таблица 2 – Типы нарушителей

Внешние нарушители Внутренние  нарушители
Конкуренты Администраторы
Клиенты (представители сторонних организаций, граждане) Сотрудники  отделов разработки и сопровождения ПО (прикладные и системные программисты)
Посетители Пользователи (операторы) системы
Хакеры Руководители  различных уровней должностной иерархии
Преступные  организации Технический персонал
 
 
 
 

   Классификация внутренних нарушителей:

  Сотрудники, допускающие утечку конфиденциальной информации, будучи допущенными к ней, классифицируются по нескольким критериям — злонамеренные или халатные, ставящие цели себе сами или действующие по заказу, охотящиеся за конкретной информацией или выносящие все, к чему имеют доступ. Правильно классифицировав потенциального нарушителя, сотрудники подразделения информационной безопасности компании могут спрогнозировать поведение нарушителя при невозможности осуществления попытки передачи информации. Кроме того, рассматривая средства защиты, всегда надо иметь в виду, против каких нарушителей эти средства действенны, а против каких — нет.

 Мы  разделяем нарушителей на пять  основных видов — неосторожные, манипулируемые, саботажники, нелояльные и мотивируемые извне. Рассмотрим каждый вид и их подвиды подробнее.

Таблица 3 – Экосистема внутренних нарушителей

Тип Умысел Корысть Подстановка задачи Действия при  невозможности
Халатный Нет Нет Нет Сообщение
Манипулируемый Нет Нет Нет Сообщение
Обиженный Да Нет Сам Отказ
Нелояльный Да Нет Сам Имитация
Подрабатывающий Да Да Сам\Извне Отказ\Имитация\Взлом
Внедренный Да Да Извне Взлом

   Неосторожные

Информация о работе Адекватная политика безопасности