- •Введение
- •1 Общие сведения о физической защите информации
- •1.1 Определение активов, угроз и уязвимостей
- •1.2 Угрозы физической безопасности
- •1.3 Физическая безопасность в информационной безопасности
- •1.4 Нормативно-правовая основа создания системы физической защиты информации
- •Выводы раздела 1
- •2 Характеристика угроз физической безопасности объекта информатизации
- •2.1 Описание объекта информатизации
- •2.2 Анализ уязвимости объекта информатизации
- •2.3 Описание существующих технологий физической защиты информации объекта информатизации
- •2.4 Разработка модели нарушителя информационной безопасности
- •2.5 Разработка модели угроз информационной безопасности
- •Выводы раздела 2
- •3 Разработка системы физической защиты информации объекта информатизации
- •3.1 Комплекс средств и сил физической защиты информации. Организационные мероприятия и локальные нормативные акты
- •3.2 Комплекс средств контроля доступа для физической защиты информации объекта информатизации
- •3.3 Комплекс средств наблюдения для физической защиты информации объекта информатизации
- •3.4 Оценка защищенности объекта информатизации с учетом разработанных предложений
- •3.5 Расчет экономической эффективности внедрения системы физической защиты информации
- •Выводы раздела 3
- •Заключение
- •Список использованных источников
- •Список сокращений
- •Приложение а Планы этажей корпуса IV Университета СевГу
- •Приложение б Звукоизоляция конструкций
- •Приложение в Взаимосвязь видов и способов дестабилизирующего воздействия на защищаемую информацию с его источниками
Введение
1 Общие сведения о физической защите информации
1.1 Определение активов, угроз и уязвимостей
Независимо от того, какой вид защиты информации применяется, процесс начинается с оценки рисков, с которыми может сталкиваться организация [1].
Способ расчета риска выглядит так:
(1.1)
В этом уравнении «А» относится к «активу», «УГ» — к «угрозе», а «УЯ» — к уязвимости. Выявив и определив эти три элемента, можно получить точную картину каждого риска.
Актив — это любые данные, устройство или другой компонент систем организации, которые представляют ценность — часто потому, что они содержат конфиденциальные данные или могут использоваться для доступа к такой информации.
Например, настольный компьютер сотрудника, ноутбук или служебный телефон будут считаться активом, как и приложения на этих устройствах. Точно так же критически важная инфраструктура, такая как серверы и системы поддержки, является активом [2].
Наиболее распространенными активами организации являются информационные активы. Это такие вещи, как базы данных и физические файлы, то есть конфиденциальные данные, которые хранятся на физических устройствах.
Подобной концепцией является «контейнер информационных активов», в котором хранится эта информация. В случае с базами данных это будет приложение, которое использовалось для создания базы данных. Для физических файлов это будет папка на диске, в которой хранится информация.
Угроза — это любое происшествие, которое может негативно повлиять на актив, например, если он потерян, отключен от сети или используется неуполномоченным лицом [3].
Угрозы можно рассматривать как обстоятельства, ставящие под угрозу конфиденциальность, целостность или доступность актива, и они могут быть преднамеренными или случайными.
Естественные угрозы — это угрозы, вызванные воздействиями на КС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.
Искусственные угрозы — это угрозы КС, вызванные деятельностью человека. Среди искусственных угроз, исходя из мотивации действий, можно выделить:
непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;
преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
К преднамеренным угрозам относятся такие вещи, как преступный взлом или кража информации злоумышленником, тогда как случайные угрозы обычно связаны с ошибкой сотрудника, технической неисправностью или событием, причиняющим физический ущерб, например, пожаром или стихийным бедствием [3].
Уязвимость — это организационная ошибка, которая может быть использована для угрозы уничтожения, повреждения или компрометации актива.
Например, уязвимости в программном обеспечении возникают из-за его сложности и частоты обновления. Эти недостатки, известные как ошибки, могут быть использованы хакерами для доступа к конфиденциальной информации.
Однако уязвимости относятся не только к технологическим недостаткам. Это могут быть физические недостатки, такие как сломанный замок, который позволяет посторонним проникнуть в ограниченную часть помещения, или плохо написанные (или несуществующие) правила, которые могут привести к раскрытию информации сотрудниками [4].
Другие уязвимости включают врожденные человеческие слабости, такие как наша восприимчивость к фишинговым электронным письмам; конструктивные недостатки помещения, например, прохудившаяся труба возле розетки; и коммуникационные ошибки, такие как отправка сотрудниками информации не тому человеку.
Риск информационной безопасности должен иметь что-то, что находится под угрозой (актив), действующее лицо, которое может его использовать (угроза), и способ, которым они могут произойти (уязвимость) [5].
Если обнаружилась уязвимость, но нет угрозы ее использования, то практически нет риска. Точно так же можно обнаружить угрозу, но уже защищены все слабые места, которые она может использовать.
Конечно, выявление рисков — это только первый шаг к обеспечению безопасности организации. Их необходимо задокументировать, оценить и расставить приоритеты и принять меры для защиты.