Анализ состояния защиты данных в информационных системах
Покупка
Основная коллекция
Издательство:
Новосибирский государственный технический университет
Составитель:
Денисов В. В.
Год издания: 2012
Кол-во страниц: 52
Дополнительно
Вид издания:
Учебно-методическая литература
Уровень образования:
Профессиональное образование
ISBN: 978-5-7782-1969-4
Артикул: 631446.01.99
Доступ онлайн
В корзину
Тематика:
ББК:
УДК:
ОКСО:
- ВО - Бакалавриат
- 09.03.02: Информационные системы и технологии
- 10.03.01: Информационная безопасность
- ВО - Магистратура
- 09.04.02: Информационные системы и технологии
- 10.04.01: Информационная безопасность
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов.
Для полноценной работы с документом, пожалуйста, перейдите в
ридер.
Министерство образования и науки Российской Федерации НОВОСИБИРСКИМ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ Учебно-методическое пособие НОВОСИБИРСК 2012
УДК 004.056 (075.8) А 64 Работа подготовлена на кафедре Информационной экономики и предназначена для студентов и магистрантов специальностей 080800 и 080801 - «Прикладная информатика». Утверждено Редакционноиздательским советом университета в качестве учебно-методического пособия. Составитель В.В. Денисов Рецензенты: А.Ж. Абденов, д-р техн. наук, профессор; А.В. Кравченко, канд. техн. наук, доцент А 64 Анализ состояния защиты данных в информационных системах : учеб.-метод. пособие / В.В. Денисов, сост. - Новосибирск: Изд-во НГТУ, 2012.-52 с. ISBN 978-5-7782-1969-4 Пособие состоит из теоретической части и описания методики проведения анализа состояния защиты данных на предприятии или в подразделении. Анализ основан на экспертном оценивании опасности угроз и эффективности их устранения. Результаты оценивания заносятся в матрицы. Пособие позволяет выполнить расчетно-графическую работу по курсу «Информационная безопасность». АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ Учебно-методическое пособие Редактор ИИ Кваиская Выпускающий редактор И.П. Бровстова Дизайн обложки А.В. Ладожская Компьютерная верстка ЛД. Веселовская Подписано в печать 17.05.2012. Формат 60 х 84 1/16. Бумага офсетная. Тираж 150 экз. Уч.-изд. л.3,02. Печ. л. 3,25. Изд. № 446/11. Заказ № Цена договорная Отпечатано в типографии Новосибирского государственного технического университета 630092, г. Новосибирск, пр. К. Маркса, 20 ISBN 978-5-7782-1969-4 УДК 004.056 (075.8) © Денисов В.В., состав., 2012 © Новосибирский государственный технический университет, 2012
ОГЛАВЛЕНИЕ ВВЕДЕНИЕ.................................................4 1. ИНВЕНТАРИЗАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ.................5 2. КЛАССИФИКАЦИЯ ЭЛЕМЕНТОВ ИНФОРМАЦИОННОЙ СИСТЕМЫ............................................15 2.1. Аспекты информационной безопасности...............15 2.2. Классификация элементов данных....................17 3. ВЫЯВЛЕНИЕ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ..................23 3.1. Перечень вредоносных воздействий..................23 3.2. Описания вредоносных воздействий на данные. Матрицы U и V....................................26 4. ИНВЕНТАРИЗАЦИЯ МЕТОДОВ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ.........................................32 4.1. Классификация методов и средств защиты информации.32 4.2. Инвентаризация методов и средств защиты информации в информационной системе.........................38 4.3. Анализ степени перекрытия каналов утечки информации.40 5. АНАЛИЗ ЗАЩИЩЕННОСТИ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ................................44 Заключение..............................................48 Библиографический список................................49 Приложение. Методы регламентации, рекомендуемые для включения в должностные инструкции............50
ВВЕДЕНИЕ Расчетно-графическая работа (РГР) по курсу «Информационная безопасность», специальность «Прикладная информатика в экономике», предполагает всесторонний анализ состояния информационной безопасности, методов и средств защиты данных для конкретного рабочего места (подразделения). Поэтому в РГР должны быть аргументировано представлены результаты такого квалифицированного анализа. Для этого, во-первых, следует рассмотреть информационные элементы (данные всех видов и на любых носителях, используемые при решении задач в информационной системе (ИС)), технические средства (средства ввода, обработки, хранения и вывода данных), которые могут подвергнуться случайному и/или преднамеренному воздействию. Во-вторых, необходимо выявить реально существующие и потенциально возможные «каналы утечки информации» (направления несанкционированного воздействия на защищаемые элементы). В-третьих, надо проанализировать степень защищенности ИС: оценить эффективность работы существующих средств защиты по перекрытию «каналов утечки информации», выработать рекомендации по дополнительным методам и средствам защиты для устранения обнаруженных дефектов в информационной безопасности и надежного перекрытия каналов утечки.
1. ИНВЕНТАРИЗАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ В расчетно-графической работе для всестороннего анализа состояния защиты информации в любой ИС требуется прежде всего выявить элементы, которые подлежат защите - это и является задачей инвентаризации. В качестве элементов могут выступать совокупности данных и технические средства. Рассмотрим их. По данным: к защищаемым элементам можно отнести следующие. • Данные на бумажных носителях, т. е. первичные документы. • Данные на бумажных носителях: это документы и ведомости, выводимые на принтер (локальный или сетевой). • Данные на бумажных носителях: документы и распечатки, тиражируемые с помощью копировально-множительной техники. • Служебные инструкции по работе с конфиденциальной информацией. • Журналы регистрации пользователей и назначения приоритетов (на всех видах носителей). • Данные и программы в основной памяти компьютера (НЖМД, процессор, оперативная память). • Данные и программы на внешних (съемных) электронных и оптических носителях. • Данные, передаваемые в виде пакетов по каналам связи (в ЛВС и глобальных сетях). • Данные, отображаемые на экране монитора. • Отходы обработки информации в виде бумажных и электронных носителей. • Резервные и архивные копии на электронных носителях. Элементы защиты для технических средств. • Терминал пользователя (системный блок компьютера, монитор, клавиатура, манипуляторы ...). 5
• Стационарные технические средства работы с электронными носителями (НЖМД, оперативная память, ПЗУ...). • Технические средства работы со съемными электронными носителями (НГМД, дисководы-CD, запоминающие устройства для USB и т. д.). • Терминал администратора. • Узел связи. • Экранные средства отображения данных (мониторы, проекторы, специальные экраны.). • Средства документирования и копирования. • Внешние каналы связи и сетевое телекоммуникационное оборудование. • Машинный зал. Комплекты: оборудование по организации ЛВС, терминалы, системные блоки, мониторы, периферийное оборудование, средства организации (бесперебойного) питания. • Картотеки (средства хранения бумажных документов с элементами упорядочения, например, стеллажи с папками, папки с документами, упорядоченными по номерам/датам). Следует иметь в виду, что при инвентаризации может выясниться, что одни и теже данные используются различными ТС. В каждом случае следует рассматривать несколько элементов для защиты. Методика проведения инвентаризации ничем не отличается от типового процесса, например, инвентаризации товарно-материальных ценностей: составляется опись всех элементов на основе предварительных бесед с ответственными лицами, визуального осмотра физического размещения, ознакомления с документацией, стандартами и нормами. Отличие заключается только в наборе регистрируемых данных по элементам, относящимся к процессам информационного взаимодействия. Примерный перечень параметров заложен в структуре таблиц рассматриваемого примера. Первый шаг. Описание информационного взаимодействия на основе физической структуры ИС. Например, рассмотрим в качестве объекта автоматизации процесс обработки заказа на предприятии, занимающегося изготовлением изделий из металла. Организационная структура объекта представлена на рис. 1. Прежде всего должны быть определены рабочие места, участвующие в процессе. При этом учитываются только те, на которых происходит обработка данных, относящихся к рассматриваемому процессу. 6
Менеджер I Конструктор I I Зав, складом | |Админнстратор| Pwc. 1. Организационная структура Менеджер ► Прием заказа -►[Заказ материалов] Конструктор Резервирование материалов Чертеж заказчика Счет на оплату Обработка чертежа > Заполнение спецификации Учет материалов Таолица спецификации Первоначальное наполнение БД и внесение изменений Расчет себестоимости, цены и сроков изготовления изделия Зав. складом Администратор >| Распределение полномочий Архивирование БД | Восстановление БД | Резервирование БД | Рис. 2. Информационная модель процесса 7
Таблица 1 Инвентаризация по техническому (аппаратному) обеспечению процесса Полное Ответственный наимено- Физическое Фирма-производитель Инвентарный Функциональное Встроенные за данную еди вание размещение (продавец) серийный назначение механизмы ницу оборудо- аппарата номер системы защиты вания Систем- На рабочем AMD SEMPRON 2200 / Сбор, хранение и Индивидуаль- Администратор ный блок месте менед- 256МЬ/64МВ обработка инфор- ный пароль жера по про- (GeForce4MX - 440-8Х) мации при загрузке дажам в цен- На базе МВ тре комнаты GIGABYTE GA- 1 под столом 7VT600 (VIA KT600)/HDD 80Gb(7200) /FDD 3,5"/CD-ROM ОО Систем- На рабочем AMD SEMPRON 2200 / Сбор, хранение Индивидуаль- Администратор ный блок месте конст- 256Mb/64MB и обработка инфор- ный пароль руктора в цен- (GeForce4MX - 440-8X) мации при загрузке тре комнаты На базе MB GIGABYTE 2 под столом GA-7VT600 (VIA KT600)/HDD 80Gb(7200) /FDD 3,5"/CD-ROM Систем- На рабочем AMD SEMPRON 2200 / Сбор, хранение и Индивидуаль- Администратор ный блок месте админи- 256Mb/64MB обработка инфор- ный пароль стратора в (GeForce4MX - 440-8X) мации при загрузке центре комна- На базе MB GIGABYTE 3 ты под столом GA-7VT600 (VIA KT600)/HDD 80Gb(7200) /FDD 3,5"/CD-ROM
Систем- На рабочем AMD SEMPRON 2200 / Сбор, хранение и Индивидуаль- Администратор ный блок месте зав. 256МЪ/64МВ обработка инфор- ный пароль складом в (GeForce4MX - 440-8Х) мации при загрузке правом углу На базе MB GIGABYTE 4 комнаты под GA-7VT600 столом напро- (VIA KT600)/HDD тив двери 80Gb(7200) /FDD 3,5"/CD-ROM Монитор, На каждом Samsung, 17’ Отображение ин- Нет Администратор 4 шт. рабочем месте 5-6-7-8 формации, редакти- на столе рование Клавиа- На каждом Samsung Ввод данных Нет Администратор тура, рабочем месте 4 шт. на столе, на- 9-10-11-12 против мони- тора Мышь, На каждом Samsung Ввод данных Нет Администратор 4 шт. рабочем месте на столе, 13-14-15-16 справа от мо- нитора Жесткий На каждом Samsung Физическое хране- Закрыт метал- Администратор ДИСК, рабочем мес- ние данных лическим кар- 4 шт. те, в систем- 17-18-19-20 касом и при- ном блоке винчен на болты Принтер На рабочем HP 21 Вывод данных на Нет Администратор месте менед- бумажный носитель жера по про- дажам, у окна
Окончание табл. 1 Полное Инвентарный Функциональное Встроенные Ответственный наимено- Физическое Фирма-производитель серийный назначение механизмы за данную еди вание размещение (продавец) номер системы защиты ницу оборудо- аппарата вания Внешние По периметру JDPO Подключение к уда- Логин Администратор каналы администра- 22 ленному соедине- Пароль связи тивного кор- нию пуса Сетевое На каждом Обеспечение взаи- Нет Администратор оборудо- рабочем месте модействия всех вание 23 рабочих мест по- средством локаль- ной сети Накопи- На рабочем FH Хранение и перенос Пароль, Администратор тели на месте менед- информации замок на шка- съемных жера по про- 24 фу носителях дажам, в шка- фу
Таблица 2 Инвентаризация данных № Наименова- Источник Приемник Действия с данными Форма пред- п/п ние данных информации (назначение) ставления Вид данных 1 Чертеж Конструк- Менеджер Представление разработан- Бумажный Данные первич- тор, заказ- по прода- ного чертежа заказчику или или элек- ных документов чик жам прием готового чертежа от тронный на бумажных заказчика для дальнейшей носитель и внешних маг- обработки нитных носителях 2 Вид изделия, Заказчик Менеджер Обработка данных для пе- Бумажный Первичные дан- размеры по прода- редачи на конструкторскую носитель ные на бумажном и личные жам проработку носителе предпочте- ния заказчи- ка 3 Калькуляция Менеджер Заказчик Ввод данных в форму Бумажный и Первичные дан- по прода- и расчет полной калькуля- электронный ные на бумажном жам ции затрат на изделие носитель носителе, в опера тивной памяти и выводимые на печать при ис- пользовании сете- вого принтера 4 Эскиз Менеджер Заказчик Прием эскиза изделия Электрон- Комплект тексто- и калькуля- по прода- от конструктора, ввод дан- ный носи- вых и графиче- ция жам ных в форму, расчет полной тель ских файлов, вы- калькуляции затрат для со- водимых на гласования с заказчиком печать при ис- пользовании сете- вого принтера
Доступ онлайн
В корзину