- •С.М. Нужний, к.О. Касимова, г.А. Нев’янцева
- •Методичні вказівки до виконання практичних робіт з курсу "організація та керування роботами, пов’язаними з тзі"
- •Під редакцією проф. В.С. Блінцова
- •Миколаїв 2008
- •Перелік умовних скорочень
- •Завдання до практичних робіт Практична робота № 1. Організація проведення обстеження на оід
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 2. Проведення робіт з категорування на оід
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 3. Розробка моделі загроз для ІзОд на оід
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 4. Розробка технічного завдання на створення ксзі
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 5. Розробка фінансової та конструкторської документації на комплекс тзі
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 6. Розробка програм та методик випробувань
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 7. Впровадження на оід заходів з тзі
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 8. Атестація комплексу тзі
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 9. Оформлення паспортів
- •Короткі теоретичні відомості
- •Додатки Додаток а
- •Додаток б розпорядження голови обласної державної адміністрації
- •Додаток в
- •Додаток г Приклад плану підготовчих технічних заходів
- •Додаток д Перелік відомостей про об’єкти інформаційної діяльності та комплекси технічного захисту інформації
- •Додаток е Зміст акта атестації
- •Акт атестації
- •Додаток і Зміст акта атестації комплексу технічного захисту інформації на особливо важливому об'єкті інформаційної діяльності
- •Акт атестації
- •Період проведення атестації.
- •Додаток к форма титульного аркуша паспорта на комплекс технічного захисту інформації
- •Паспорт на комплекс технічного захисту інформації
- •Додаток л Форма титульного аркуша паспорта на приміщення, де ІзОд озвучується та/або обробляється технічними засобами
- •Паспорт на приміщення, де інформація з обмеженим доступом озвучується та/або обробляється технічними засобами
- •Нужний с.М., Касимова к.О., Нев’янцева г.А.
- •"Організація та керування роботами, пов’язаними з тзі"
- •Методичні вказівки до виконання практичних робіт
- •Під редакцією проф. В.С. Блінцова
- •54002, М. Миколаїв, вул. Скороходова, 5
План практичної роботи
1. Ознайомитись з "Тимчасовим положенням про категорування об`єктів (ТПКО-95)"
2. Провести категорування ОІД
3. Скласти акти категорування об`єктів відповідно до вимог «Положення про технічний захист інформації в Україні» та інших чинних нормативно-методичних документів за прикладом наведеним у Додатку 2
Контрольні питання
1. Назвіть об’єкти, що підлягають категоруванню?
2. З якою метою проводиться категорування?
3. Назвіть чотири категорії об'єктів залежно від правового режиму доступу до інформації, що циркулює в них
4. Хто є відповідальним за проведення робіт з категорування?
5. Що визначає комісія з категорування?
6. Що зазначається в наказі про створення комісії?
7. Відповідно до яких нормативних документів складаються акти категорування?
8. В яких випадках проводиться повторне категорування?
Практична робота № 3. Розробка моделі загроз для ІзОд на оід
Мета роботи: ознайомлення з НД ТЗІ 1.6-003-04, теоретичними даними про класифікацію загроз; здобуття практичних навичок з розробки моделі загроз для ІзОД на ОІД.
Короткі теоретичні відомості
Модель загроз – абстрактне формалізоване або неформалізоване опис методів і засобів здійснення загроз. Загрози поділяються на навмисні і ненавмисні.
Ненавмисні |
Навмисні |
Стихійні лиха та аварії |
Терористичні акти, воєнні дії |
Збої та відмови обладнання |
Вихід з ладу обладнання або допоміжних систем |
Помилки проектування та розробки компонентів АС (некоректна робота програм, наявність помилок в програмному забезпеченні) |
Навмисне внесення помилок в програмне забезпечення, не документовані функції, програмні закладки |
Помилки експлуатації |
Навмисні дії зловмисників та порушників |
Загрози інформації при розробці моделі загроз зручно розглядати з погляду їх будь-якої небажаної дії і можливого порушення властивостей захищеності інформації – конфіденційності, цілісності, доступності та спостережуваності. З цієї точки зору в інформаційних системах розрізняють наступні класи погроз інформації:
– порушення конфіденційності;
– порушення цілісності;
– порушення доступності або відмова в обслуговуванні;
– порушення спостережуваності або керованості.
Таким чином, загроза – це потенційно можливий несприятливий вплив на інформацію, який приводить до порушень хоча б однієї з наведених властивостей.
Загрози класифікуються за наступними критеріями:
– за принципом НСД;
– за метою НСД;
– за характером впливу;
– за режимом НСД;
– за розташуванням джерела НСД;
– за типом використовуваних вразливостей;
– за шляхом НСД;
– за станом кінцевого об‘єкту атаки;
– за безпосереднім об‘єктом атаки.
За принципом НСД:
1 Фізичний доступ:
– подолання рубежів територіального захисту й доступ до незахищених інформаційних ресурсів;
– розкрадання документів і носіїв інформації;
– візуальне перехоплення інформації, виведеної на екрани моніторів і принтери;
– підслуховування;
– перехоплення електромагнітних випромінювань.
2 Логічний доступ.
За метою НСД:
1. Порушення конфіденційності.
2. Порушення цілісності.
3. Порушення доступності.
За характером впливу:
1. Активне.
2. Пасивне (спостереження).
За режимом НСД:
1. При постійній участі людини (в інтерактивному режимі), можливе застосування стандартного ПЗ.
2. Без безпосередньої участі людини (в пакетному режимі), частіше всього – спеціалізоване ПЗ.
За наявністю зворотного зв’язку:
1. Зі зворотнім зв’язком.
2. Без зворотного зв’язку.
За розташуванням джерела НСД:
1. Внутрішньосегментне:
– джерело знаходиться в локальній мережі;
– ініціатор атаки – санкціонований користувач.
2. Між сегментне:
– несанкціоноване втручання в відкритої мережі в закриту;
– порушення обмежень доступу з одного сегменту в інший.
За типом використовуваних вразливостей:
1. Недоліки політики безпеки:
– помилки при обстеженні об’єкту;
– недостатня проробка моделі безпеки;
– зміна фізичної середи або ВС.
2. Недоліки алгоритмів захисту (помилки проектування).
3. Помилки реалізації алгоритмів захисту (помилки реалізації, наприклад, програмування).
4. Помилки адміністративного керування.
За шляхом НСД:
1. Прямий стандартний шлях доступу:
– використання слабкостей політики безпеки;
– використання недоліків адміністративного керування.
2. Схований нестандартний шлях доступу недокументовані особливості системи сховані канали.
За станом кінцевого об’єкту атаки:
1. Зберігання (зовнішні носії).
2. Обробка (оперативна пам’ять).
3. Передача (лінії зв’язку).
За безпосереднім об’єктом атаки:
1. Політика безпеки та процес адміністративного керування;
2. Компоненти системи захисту;
3. Протоколи взаємодії;
4. Функціональні компоненти АС.
За рівнем моделі OSI, на якій відбувається вплив:
1. Фізичний;
2. Канальний;
3. Мережний;
4. Транспортний;
5. Сеансовий;
6. Представницький;
7. Прикладний.