125 Кібербезпека / 4 Курс / 3.2_4.1_4.2_Комплексні системи захисту інформації (проектування, впровадження, супровід) / Курсова / kszi-kp-example-1
.pdfМІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ Тернопільський національний університет імені Івана Пулюя Факультет інформаціійно-комунікаційних систем і програмної інженерії Кафедра кібербезпеки
Курсовий проект з дисципліни «КСЗІ: проектування, впровадження, супровід»
Тема: «Побудова комплексної системи захисту інформації»
Виконав:
____________________
Перевірив:
____________________
Тернопіль – 20___
ЗМІСТ
ЗАВДАННЯ ОСНОВНІ ТЕОРЕТИЧНІ ВІДОМОСТІ
1.Обгрунтування необхідності Створення КСЗІ в АС
2.Обстеження середовищ функціонування АС АКТ ОБСТЕЖЕННЯ НАКАЗ ПЕРЕЛІК ВІДОМОСТЕЙ
АКТ ВИЗНАЧЕННЯ ВИЩОГО СТУПЕНЮ ОБМЕЖЕННЯ ДОСТУПУ ІНФОРМАЦІЇ
3.Визначення потенційних загроз для інформації, яка циркулюватиме в
АС
ПОСЛУГИ
1.Позначення і скорочення
2.Послуги, що виконуються в АС классу 2 видавництва «Книгоман»
МОДЕЛЬ ЗАГРОЗ
1. Позначення і скорочення
2. Нормативні посилання
3.Загальні положення
4.Загальна характеристика автоматизованої системи установи і умов її функціонування
5.Описи технічних каналів витоку та загроз ІзОД
6.Модель загроз для інформації, яка планується до циркуляції в АСі класу 2
7. Модель порушника
4. Розробка політики безпеки інформації в АС ПОЛІТИКА БЕЗПЕКИ ІНФОРМАЦІЇ
1.Загальні положення
2.Основні організаційні заходи
3.Розмежування інформаційних потоків
4.Вимоги до правил адміністрування КЗЗ і реєстрації дій користувачів
5.Середовище АС
6.Фізичне середовище АС
5. Складання плану захисту інформації в АС
ПЛАН ЗАХИСТУ ІНФОРМАЦІЇ
1.Завдання захисту інформації в АСВТЗІ
2.Класифікація інформації, що обробляється в АСВТЗІ
3.Опис компонентів АСВТЗІ та технології оброки інформації
4.Організаційні заходи захисту
5.Фізичний захист інформації
6.Захист інформації від витоку технічними каналами
7.Порядок модернізації компонентів системи
8.Порядок проведення відновлювальних робіт і забезпечення безперервного функціонування АСВТЗІ
9.Контроль за функціонуванням КСЗІ
10.Порядок введення в експлуатацію КСЗІ
11.Система документів щодо забезпечення захисту інформації в АСВТЗІ
12.Календарний план із захисту інформації в АСВТЗІ
6. Розробка технічного завдання на створення КСЗІ в АС
ТЕХНІЧНЕ ЗАВДАННЯ
1.Загальні відомості
2.Мета створення і призначення КСЗІ
3.Загальна характеристика АСВТЗІ та умов її функціонування
4.Вимоги до комплексної системи захисту інформації
5.Вимоги до складу проектної та експлуатаційної документації
6.Вимоги до забезпечення режимних заходів у процесі розробки КСЗІ
7.Етапи виконання робіт
8.Порядок внесення змін і доповнень до технічного завдання
9.Порядок контролю та приймання КСЗІ
7.Складання техноробочого проекту створення КСЗІ
ТЕХНОРОБОЧИЙ ПРОЕКТ
1.Відомість проектної документації до Техноробочого проекту КСЗІ в АСВТЗІ
2.Відомість експлуатаційної документації до Техноробочого проекту КСЗІ в АСВТЗІ
3.Пояснювальна записка до Техноробочого проекту
8. Підготовка КСЗІ до введення в дію ПАСПОРТ-ФОРМУЛЯР
1. Загальні положення
2. Загальні відомості про ОІД, на якому знаходиться АСВТЗІ
3. Призначення комплексної системи захисту інформації в АСВТЗІ:
9. Попередні випробування КСЗІ
ПРОГРАМА ТА МЕТОДИКИ ВИПРОБУВАНЬ
1.Об’єкт випробувань
2.Мета випробувань
3.Загальні положення
4.Обсяг випробувань
5.Умови і порядок проведення випробувань
6.Матеріально-технічне забезпечення випробувань
7.Метрологічне забезпечення випробувань
8.Звітність
ПРОТОКОЛ
10.Дослідна експлуатація КСЗІ АКТ ПРИЙМАННЯ
11.Експертиза КСЗІ
АКТ ЗАВЕРШЕННЯ ДОСЛІДНОЇ ЕКСПЛУАТАЦІЇ Список використаної літератури
ЗАВДАННЯ
1. Розробити комплексну систему захисту інформації для автоматизованої системи класу «2» обраного за варіантом підприємство
(дозволяється самостійно обрати існуюче підприємство, попередньо узгодити з викладачем). Кожний етап побудови оформити згідно нормативних документів.
2.Згідно останньої цифри залікової книжки обрати об’єкт інформаційної діяльності.
3.Кількість поверхів обирається за сумою двох останніх цифр залікової книжки – якщо сума парне число, тоді 2 поверхи, якщо непарне - 1
(Наприклад, Σ = 4, то поверхів 2, якщо Σ = 5, то поверхів 1).
4.Обґрунтуйте вибір апаратних та програмних засобів захисту (засіб повинен мати експертний висновок Держспецзв’язку України).
5.Курсова робота оформлюється згідно вимог ГОСТу до проектно-
технічної документації.
Всі документи розробляються згідно вимог нормативних документів Держспецзв’язку України та ДСТУ.
ВАРІАНТИ
Остання цифра |
Кількість |
Кількість |
Об’єкт інформаційної діяльності |
залікової |
приміщень |
ПК |
|
книжки |
|
|
|
|
|
|
|
8 |
4 |
21 |
Видавництво |
|
|
|
|
ОСНОВНІ ТЕОРЕТИЧНІ ВІДОМОСТІ
Згідно Закону України “Про захист інформації в інформаційно-
телекомунікаційних системах” від 31.05.2005 р. – Комплексна система захисту інформації (КСЗІ) - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.
ЕТАПИ ПОБУДОВИ КСЗІ
Обґрунтування необхідності створення КСЗІ в АС
Обстеження середовищ функціонування АС Визначення потенційних загроз для інформації, яка циркулюватиме в АС
Розробка політики безпеки інформації в АС
Складання плану захисту інформації в АС
Розробка технічного завдання на створення КСЗІ в АС
Складання техноробочого проекту створення КСЗІ
Підготовка КСЗІ до введення в дію
Попередні випробування КСЗІ
Дослідна експлуатація КСЗІ
Експертиза КСЗІ
Супроводження КСЗІ
1.ОБГРУНТУВАННЯ НЕОБХІДНОСТІ СТВОРЕННЯ КСЗІ В АС
Згідно Закону України "Про захист інформації в інформаційно-
телекомунікаційних системах" від 31.05.2005 р. - Комплексна система захисту інформації - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.
Згідно статті 8 цього Закону, Умови обробки інформації в системі.
Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку,
встановленому законодавством.
Для створення комплексної системи захисту інформації, яка є
власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
У 2006 році 29 березня Постановою Кабінету Міністрів України №373, були затверджені "Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах", в яких визначається, що - (пт. 16) для забезпечення захисту інформації в системі створюється комплексна система захисту інформації (далі - система захисту), яка призначається для захисту інформації від:
□витоку технічними каналами, до яких належать канали побічних електромагнітних випромінювань і наведень, акустично-електричні та інші канали, що утворюються під впливом фізичних процесів під час функціонування засобів обробки інформації, інших технічних засобів і комунікацій;
□несанкціонованих дій з інформацією, у тому числі з використанням комп'ютерних вірусів;
□спеціального впливу на засоби обробки інформації, який здійснюється шляхом формування фізичних полів і сигналів та може призвести до порушення її цілісності та несанкціонованого блокування.
Захист інформації від витоку технічними каналами забезпечується в системі у разі, коли в ній обробляється інформація, що становить державну таємницю, або коли відповідне рішення щодо необхідності такого захисту прийнято власником (розпорядником) інформації.
Захист інформації від несанкціонованих дій, у тому числі від комп'ютерних вірусів, забезпечується в усіх системах.
Захист інформації від спеціального впливу на засоби обробки
інформації забезпечується в системі, якщо рішення про необхідність такого захисту прийнято власником (розпорядником) інформації.
Існує також нормативний документ, " Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-
телекомунікаційній системі" НД ТЗІ 3.7-003-05, який визначає, (пт.5.3)
процес створення КСЗІ полягає у здійсненні комплексу взаємоузгоджених заходів, спрямованих на розроблення і впровадження інформаційної технології, яка забезпечує обробку інформації в інформаційно-
телекомунікаційній системі (ITC) згідно з вимогами, встановленими нормативно-правовими актами та нормативними документами (НД) у сфері захисту інформації.
До складу КСЗІ входять заходи та засоби, які реалізують способи,
методи, механізми захисту інформації від:
□витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричні та інші канали;
□несанкціонованих дій та несанкціонованого доступу до інформації,
що можуть здійснюватися шляхом підключення до апаратури та ліній зв'язку,
маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав'язування хибної інформації,
застосування закладних пристроїв чи програм, використання комп'ютерних вірусів та ін;
□ спеціального впливу на інформацію, який може здійснюватися шляхом формування полів і сигналів з метою порушення цілісності інформації або руйнування системи захисту.
Для кожної конкретної ITC склад, структура та вимоги до КСЗІ визначаються властивостями оброблюваної інформації, класом автоматизованої системи та умовами експлуатації ITC. (пт. 5.8) Створення комплексів технічного захисту інформації від витоку технічними каналами здійснюється, якщо в ITC обробляється інформація, що становить державну
таємницю, або коли • необхідність цього визначено власником інформації. Створення КЗЗ здійснюється в усіх ITC, де обробляється інформація,
що є власністю держави, належить до державної чи іншої таємниці або до окремих видів інформації, необхідність захисту якої визначено законодавством, а також в ITC, де така необхідність визначена власником інформації.
Рішення щодо необхідності вжиття заходів захисту від спеціальних впливів на інформацію приймається власником інформації в кожному випадку окремо.
2.ОБСТЕЖЕННЯ СЕРЕДОВИЩ ФУНКЦІОНУВАННЯ АС
АКТ ОБСТЕЖЕННЯ Видавництво «Книгоман»
Затверджую |
Директор видавництва «Книгоман» |
17.02.11 |
Кірик Іванна Іванівна |
АКТ № 3 |
|
«про обстеження робочого приміщення №5 - серверна» |
|
17.02.11 |
м. Київ |
Комісія в складі: |
|
голова |
Гаврилюк Юлія Андріївна – замісник директора, |
члени: |
Хохуля Тетяна Миколаївна – нач. відділу ТЗІ, |
Кірик Іванна Іванівна – зам. нач. відділу ТЗІ, призначена наказом №1 від 2.02.2011 провела обстеження робочого приміщення №5.
Обстеження проводиться у зв’язку з тим, що КСЗІ для даного ОІД розробляється і впроваджується вперше. Цей документ розробляється виходячи з акту № 2 «категорування робочого приміщення №5» від 17.01.11, керівник – директор Кірик Іванна Іванівна.
Комісія розглянула та проаналізувала:
-ситуаційний план (додаток А)