Анализ состояния защиты данных в информационных системах

Скачать 1.18 Mb.

Название	Анализ состояния защиты данных в информационных системах
страница	1/8
Тип	Анализ

rykovodstvo.ru > Руководство эксплуатация > Анализ

1 2 3 4 5 6 7 8

Министерство образования и науки Российской Федерации

НОВОСИБИРСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

__________________________________________________________________

В.В. ДЕНИСОВ

АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

Новосибирск, 2012 г

УДК 004.056 (075.8)

Д 999

Рецензенты:

А.Ж. Абденов, д-р техн. наук. профессор

А.В.Кравченко, канд. техн. наук, доцент

Денисов, В.В.

Д 999 Анализ состояния защиты данных в информационных системах: учеб. пособие / В.В. Денисов. – Новосибирск: Изд-во НГТУ, 2012. – 80 с.
Пособие включает в себя теоретическую часть и описание методики проведения анализа состояния защиты данных на предприятии или в подразделении. Анализ основан экспертном оценивании опасности угроз и эффективности их устранения. Результаты оценивания заносятся в матрицы. Пособие позволяет выполнить расчетно-графическую работу по курсу «Информационная безопасность», предназначено для студентов и магистрантов специальностей 080800 и 080801 - «Прикладная информатика»

УДК 004.056 (075.8)
 Новосибирский государственный
технический университет, 2012

Оглавление

ВВЕДЕНИЕ……………………………………………………………..

1. ИНВЕНТАРИЗАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ……..…

КЛАССИФИКАЦИЯ ЭЛЕМЕНТОВ ИНФОРМАЦИОННОЙ СИСТЕМЫ………………………………………………………………….

2.1 Аспекты информационной безопасности……………………...

Классификация элементов данных……………………………..

3. ВЫЯВЛЕНИЕ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ…………….

3.1 Перечень вредоносных воздействий…………………………….

Матрица описания вредоносных воздействий на данные …...

4. ИНВЕНТАРИЗАЦИЯ МЕТОДОВ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ…………………………………………………………

4.1 Классификация методов и средств защиты информации……

4.2 Инвентаризация методов и средств защиты информации в информационной системе…………………………………………….

Анализ степени перекрытия каналов утечки информации…

5. АНАЛИЗ ЗАЩИЩЕННОСТИ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ…………………………………………………………………….

ЗАКЛЮЧЕНИЕ………………………………………………………………

РЕКОМЕНДУЕМАЯ ЛИТЕРАТУРА……………………………………...

Приложение А…………………………………………………………………

ВВЕДЕНИЕ

Расчетно-графическая работа (РГР) по курсу «Информационная безопасность», специальность «Прикладная информатика в экономике», предполагает всесторонний анализ состояния информационной безопасности, состояния методов и средств защиты данных для конкретного рабочего места (подразделения). В РГР должны быть аргументировано представлены результаты такого квалифицированного анализа. Для этого, во-первых, следует рассмотреть информационные элементы (данные всех видов и на любых носителях, используемые при решении задач в ИС), технические средства (средства ввода, обработки, хранения и вывода данных), которые могут подвергнуться случайному и/или преднамеренному воздействию. Во-вторых, выявить реально существующие и потенциально возможные «каналы утечки информации» (направления несанкционированного воздействия на защищаемые элементы). В-третьих, проанализировать степень защищенности ИС: оценить эффективность работы существующих средств защиты по перекрытию «каналов утечки информации», выработать рекомендации по дополнительным методам и средствам защиты для устранения обнаруженных дефектов в информационной безопасности и надежного перекрытия каналов утечки.

1 ИНВЕНТАРИЗАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ

В Расчетно-графической работе для всестороннего анализа состояния защиты информации в любой ИС, требуется прежде всего выявить элементы, которые подлежат защите – это и является задачей инвентаризации. В качестве элементов могут выступать совокупности данных и технические средства.

По данным – защищаемыми элементами могут выступать :

Данные на бумажных носителях – первичные документы;
Данные на бумажных носителях – документы и ведомости, выводимые на принтер (локальный или сетевой);
Данные на бумажных носителях – документы и распечатки, тиражируемые с помощью копировально-множительной техники;
Служебные инструкции по работе с конфиденциальной информацией;
Журналы регистрации пользователей и назначения приоритетов (на всех видах носителей);
Данные и программы в основной памяти компьютера (НЖМД, процессор, оперативная память);
Данные и программы на внешних (съемных) электронных и оптических носителях;
Данные передаваемые в виде пакетов по каналам связи (в ЛВС и глобальных сетях);
Данные, отображаемые на экране монитора;
Отходы обработки информации в виде бумажных и электронных носителей;
Резервные и архивные копии на электронных носителях.

По техническим средствам (ТС) элементами защиты могут быть :

Терминал пользователя (системный блок компьютера, монитор, клавиатура, манипуляторы …);
Стационарные технические средства работы с электронными носителями (НЖМД, оперативная память, ПЗУ…);
Съёмные технические средства работы с электронными носителями (НГМД, Дисководы - CD, запоминающие устройства для USB…);
Терминал администратора;
Узел связи;
Экранные средства отображения данных (мониторы, проекторы, специальные экраны…);
Средства документирования и копирования;
Внешние каналы связи и сетевое телекоммуникационное оборудование;
Машинный зал. Комплекты: оборудование по организации ЛВС, терминалы, системные блоки, мониторы, периферийное оборудование, средства организации (бесперебойного) питания;
Картотеки (средства хранения бумажных документов с элементами упорядочения – напр. стеллажи с папками, папки с документами, упорядоченными по номерам/датам).

Следует отметить, что при инвентаризации может выясниться, что одни и те же данные могут использоваться различными ТС. В каждом случае следует рассматривать несколько элементов для защиты.

Методика проведения инвентаризации ничем не отличается от типового процесса, например, инвентаризации товарно-материальных ценностей: составляется опись всех элементов на основе предварительных бесед с ответственными лицами, визуального осмотра физического размещения, ознакомления с документацией, стандартами и нормами. Отличие заключается в наборе регистрируемых данных по элементам, относящимся к процессам информационного взаимодействия. Примерный перечень параметров заложен в структуре таблиц рассматриваемого примера.

1-й шаг. Описание информационного взаимодействия на основе физической структуры ИС. Например, рассмотрим в качестве объекта автоматизации процесс обработки заказа на предприятии, занимающегося изготовлением изделий из металла. Организационная структура объекта представлена на рисунке 1. Должны быть определены рабочие места, участвующие в процессе. Учитываются только те, на которых происходит обработка данных, относящихся к рассматриваемому процессу.

Рисунок 1 - Организационная структура

2-й шаг. Выявление информационных потоков. На рисунке 2 представлена информационная модель процесса, в котором отражены информационные элементы. Данная модель разрабатывается на основе анализа информационного и технического обеспечения рабочих мест, либо на основе анализа описание документооборота предприятия (подразделения).

3-й шаг. Регистрация технических средств. В таблице 1 представлены результаты инвентаризации технических средств.

4-й шаг. Регистрация информационных элементов. В таблице 2 представлены результаты инвентаризации информационных элементов

Рисунок 2 - Информационная модель процесса
Таблица 1 - Инвентаризация по техническому (аппаратному) обеспечению процесса

Полное наименование аппарата	Физическое размещение	Фирма-производитель (продавец)	Инвентарныйсерийный номер	Функциональное назначение системы	Встроенные механизмы защиты	Ответственный за данную единицу оборудования
1	2	3	4	5	6	7
Системный блок	На рабочем месте менеджера по продажам в центре комнаты под столом	AMD SEMPRON 2200 /256Mb/64MB (GeForce4MX - 440-8X) На базе МВ GIGABYTE GA-7VT600 (VIA KT600)/HDD 80Gb(7200) /FDD 3,5"/CD-ROM	1	Сбор, хранение и обработка информации	Индивидуальный пароль при загрузке	Администратор
Системный блок	На рабочем месте конструктора в центре комнаты под столом	AMD SEMPRON 2200 /256Mb/64MB (GeForce4MX - 440-8X) На базе МВ GIGABYTE GA-7VT600 (VIA KT600)/HDD 80Gb(7200) /FDD 3,5"/CD-ROM	2	Сбор, хранение и обработка информации	Индивидуальный пароль при загрузке	Администратор
Системный блок	На рабочем месте администратора в центре комнаты под столом	AMD SEMPRON 2200 /256Mb/64MB (GeForce4MX - 440-8X) На базе МВ GIGABYTE GA-7VT600 (VIA KT600)/HDD 80Gb(7200) /FDD 3,5"/CD-ROM	3	Сбор, хранение и обработка информации	Индивидуальный пароль при загрузке	Администратор

Таблица 1 – Продолжение 1

Системный блок	На рабочем месте зав. складом в правом углу комнаты под столом напротив двери	AMD SEMPRON 2200 /256Mb/64MB (GeForce4MX - 440-8X) На базе МВ GIGABYTE GA-7VT600 (VIA KT600)/HDD 80Gb(7200) /FDD 3,5"/CD-ROM	4	Сбор, хранение и обработка информации	Индивидуальный пароль при загрузке	Администратор
Монитор 4 шт.	На каждом рабочем месте на столе	Samsung, 17’	5-6-7-8	Отображение информации, редактирование	нет	Администратор.
Клавиатура 4 шт.	На каждом рабочем месте, на столе, напротив монитора	Samsung	9-10-11-12	Ввод данных	нет	Администратор
Мышь 4 шт.	На каждом рабочем месте, на столе, справа от монитора	Samsung	13-14-15-16	Ввод данных	нет	Администратор
Жесткий диск 4 шт.	На каждом рабочем месте, в системном блоке	Samsung	17-18-19-20	Физическое хранение данных	Закрыт металлическим каркасом и привинчен на болты	Администратор
Принтер	На рабочем месте менеджера по продажам, у окна	HP	21	Вывод данных на бумажный носитель	нет	Администратор

Таблица 1 – Продолжение 2

Внешние каналы связи	По периметру административного корпуса	JDPO	22	Подключение к удаленному соединению	Логин Пароль	Администратор
Сетевое оборудование	На каждом рабочем месте	XZ	23	Обеспечение взаимодействия всех рабочих мест посредством локальной сети	нет	Администратор
Накопители на съемных носителях	На рабочем месте менеджера по продажам в шкафу	FH	24	Хранение и перенос информации	Пароль, замок на шкафу	Администратор

Таблица2 - Инвентаризация данных

Ном. п/п	Наименование данных	Источник	Приемник информации	Действия с данными (назначение)	Форма представления	Вид данных
1	2	3	4	5	6	7
1	Чертеж	Конструктор, заказчик	Менеджер по продажам	Представление разработанного чертежа заказчику или прием готового чертежа от заказчика для дальнейшей обработки	Бумажный или электронный носитель	Данные первичных документов на бумажных и внешних магнитных носителях

Таблица 2 – Продолжение 1

2	Вид изделия, размеры и личные предпочтения заказчика	Заказчик	Менеджер по продажам	Обработка данных для передачи на конструкторскую проработку	Бумажный носитель	Первичные данные на бумажном носителе
3	Калькуляция	Менеджер по продажам	Заказчик	Ввод данных в форму и расчет полной калькуляции затрат на изделие	Бумажный и электронный носитель	Первичные данные на бумажном носителе, в оперативной памяти и выводимые на печать при использовании сетевого принтера
4	Эскиз и калькуляция	Менеджер по продажам	Заказчик	Прием эскиза изделия от конструктора, ввод данных в форму, расчет полной калькуляции затрат для согласования с заказчиком	Электронный носитель	Комплект текстовых и графических файлов выводимых на печать при использовании сетевого принтера

Таблица 2 – Продолжение 2

5	Стоимость материалов (прайс-листы)	Поставщики	Менеджер по продажам	Ввод данных в БД	Таблица БД Accsess	Первичные данные на бумажных носителях и в оперативной памяти
6	Нормативы по трудовым и материальным затратам, нормативы по накладным расходам	Бухгалтер	Менеджер по продажам	Ввод данных в БД	Таблица БД Accsess	Первичные данные на бумажных и внешних магнитных носителях и в ОП
7	Номенклатура материалов, изделий и работ	Начальник производства	Менеджер по продажам	Ввод данных в БД	Первоначально - на бумажных носителях После- таблица БД Accsess	Первичные данные на бумажных носителях и в оперативной памяти

Таблица 2 – Продолжение 3

8	БД с использованием СУБД Access	Менеджер по продажам	Менеджер по продажам	Работа с данными	БД с использованием СУБД Access	Программа в оперативной памяти
9	Конструкторская спецификация	Конструктор	Менеджер по продажам	Передача спецификации в формате xls	Электронный документ .xls	Данные в оперативной памяти и к/с
10	Счет на оплату	Поставщик	Бухгалтерия	Передача данных по факсу или электронной почте	Бумажный или электронный носитель	Первичные данные на бумажном носителе, передаваемые по каналам связи и в оперативной памяти
11	Рисунок	Конструктор	Менеджер по продажам	Передача файла в формате .dvg для формирования электронного каталога рисунков	Электронный носитель	Данные передаваемые по каналам связи и в оперативной памяти
13	Архив zip/rar	Администратор	Администра-тор	Формирование архивной копии БД для восстановления их в случае потери	Электронный носитель	Данные архивных копий данных на внешних магнитных носителях
14	Архив zip/rar	Администратор	Администра-тор	Восстановление данных в случае сбоя системы	Электронный носитель	Данные резервных копий данных и программ на внешних магнитных носителях
15	Матрица полномочий	Администратор	Администра-тор	Распределение полномочий и идентификация пользователей	Электронный носитель	Журналы пользователей