Анализ состояния защиты данных в информационных системах

Министерство образования и науки Российской Федерации НОВОСИБИРСКИМ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ







АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

Учебно-методическое пособие









НОВОСИБИРСК
2012

УДК 004.056 (075.8)
     А 64

           Работа подготовлена на кафедре Информационной экономики и предназначена для студентов и магистрантов специальностей 080800 и 080801 - «Прикладная информатика». Утверждено Редакционноиздательским советом университета в качестве учебно-методического пособия.
Составитель В.В. Денисов
Рецензенты:
А.Ж. Абденов, д-р техн. наук, профессор;
А.В. Кравченко, канд. техн. наук, доцент

А 64 Анализ состояния защиты данных в информационных системах : учеб.-метод. пособие / В.В. Денисов, сост. - Новосибирск: Изд-во НГТУ, 2012.-52 с.
          ISBN 978-5-7782-1969-4
           Пособие состоит из теоретической части и описания методики проведения анализа состояния защиты данных на предприятии или в подразделении. Анализ основан на экспертном оценивании опасности угроз и эффективности их устранения. Результаты оценивания заносятся в матрицы. Пособие позволяет выполнить расчетно-графическую работу по курсу «Информационная безопасность».


АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

Учебно-методическое пособие

Редактор ИИ Кваиская
Выпускающий редактор И.П. Бровстова Дизайн обложки А.В. Ладожская Компьютерная верстка ЛД. Веселовская
Подписано в печать 17.05.2012. Формат 60 х 84 1/16. Бумага офсетная. Тираж 150 экз.
Уч.-изд. л.3,02. Печ. л. 3,25. Изд. № 446/11. Заказ №    Цена договорная

Отпечатано в типографии
Новосибирского государственного технического университета
630092, г. Новосибирск, пр. К. Маркса, 20


ISBN 978-5-7782-1969-4

УДК 004.056 (075.8)

                       © Денисов В.В., состав., 2012
                      © Новосибирский государственный технический университет, 2012

ОГЛАВЛЕНИЕ


ВВЕДЕНИЕ.................................................4
1. ИНВЕНТАРИЗАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ.................5
2. КЛАССИФИКАЦИЯ ЭЛЕМЕНТОВ ИНФОРМАЦИОННОЙ СИСТЕМЫ............................................15
 2.1. Аспекты информационной безопасности...............15
 2.2. Классификация элементов данных....................17
3. ВЫЯВЛЕНИЕ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ..................23
 3.1. Перечень вредоносных воздействий..................23
  3.2. Описания вредоносных воздействий на данные. Матрицы U и V....................................26
4. ИНВЕНТАРИЗАЦИЯ МЕТОДОВ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ.........................................32
 4.1. Классификация методов и средств защиты информации.32
  4.2. Инвентаризация методов и средств защиты информации в информационной системе.........................38
 4.3. Анализ степени перекрытия каналов утечки информации.40
5. АНАЛИЗ ЗАЩИЩЕННОСТИ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ................................44
Заключение..............................................48
Библиографический список................................49
Приложение. Методы регламентации, рекомендуемые для включения в должностные инструкции............50

            ВВЕДЕНИЕ


   Расчетно-графическая работа (РГР) по курсу «Информационная безопасность», специальность «Прикладная информатика в экономике», предполагает всесторонний анализ состояния информационной безопасности, методов и средств защиты данных для конкретного рабочего места (подразделения). Поэтому в РГР должны быть аргументировано представлены результаты такого квалифицированного анализа. Для этого, во-первых, следует рассмотреть информационные элементы (данные всех видов и на любых носителях, используемые при решении задач в информационной системе (ИС)), технические средства (средства ввода, обработки, хранения и вывода данных), которые могут подвергнуться случайному и/или преднамеренному воздействию. Во-вторых, необходимо выявить реально существующие и потенциально возможные «каналы утечки информации» (направления несанкционированного воздействия на защищаемые элементы). В-третьих, надо проанализировать степень защищенности ИС: оценить эффективность работы существующих средств защиты по перекрытию «каналов утечки информации», выработать рекомендации по дополнительным методам и средствам защиты для устранения обнаруженных дефектов в информационной безопасности и надежного перекрытия каналов утечки.

            1. ИНВЕНТАРИЗАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ


   В расчетно-графической работе для всестороннего анализа состояния защиты информации в любой ИС требуется прежде всего выявить элементы, которые подлежат защите - это и является задачей инвентаризации.
   В качестве элементов могут выступать совокупности данных и технические средства. Рассмотрим их.
   По данным: к защищаемым элементам можно отнести следующие.
   •  Данные на бумажных носителях, т. е. первичные документы.
   •     Данные на бумажных носителях: это документы и ведомости, выводимые на принтер (локальный или сетевой).
   •     Данные на бумажных носителях: документы и распечатки, тиражируемые с помощью копировально-множительной техники.
   •     Служебные инструкции по работе с конфиденциальной информацией.
   •     Журналы регистрации пользователей и назначения приоритетов (на всех видах носителей).
   •     Данные и программы в основной памяти компьютера (НЖМД, процессор, оперативная память).
   •     Данные и программы на внешних (съемных) электронных и оптических носителях.
   •     Данные, передаваемые в виде пакетов по каналам связи (в ЛВС и глобальных сетях).
   •  Данные, отображаемые на экране монитора.
   •     Отходы обработки информации в виде бумажных и электронных носителей.
   •  Резервные и архивные копии на электронных носителях.
   Элементы защиты для технических средств.
   •     Терминал пользователя (системный блок компьютера, монитор, клавиатура, манипуляторы ...).

5

   •     Стационарные технические средства работы с электронными носителями (НЖМД, оперативная память, ПЗУ...).
   •     Технические средства работы со съемными электронными носителями (НГМД, дисководы-CD, запоминающие устройства для USB и т. д.).
   • Терминал администратора.
   • Узел связи.
   •     Экранные средства отображения данных (мониторы, проекторы, специальные экраны.).
   • Средства документирования и копирования.
   •     Внешние каналы связи и сетевое телекоммуникационное оборудование.
   •     Машинный зал. Комплекты: оборудование по организации ЛВС, терминалы, системные блоки, мониторы, периферийное оборудование, средства организации (бесперебойного) питания.
   •     Картотеки (средства хранения бумажных документов с элементами упорядочения, например, стеллажи с папками, папки с документами, упорядоченными по номерам/датам).
   Следует иметь в виду, что при инвентаризации может выясниться, что одни и теже данные используются различными ТС. В каждом случае следует рассматривать несколько элементов для защиты.
   Методика проведения инвентаризации ничем не отличается от типового процесса, например, инвентаризации товарно-материальных ценностей: составляется опись всех элементов на основе предварительных бесед с ответственными лицами, визуального осмотра физического размещения, ознакомления с документацией, стандартами и нормами. Отличие заключается только в наборе регистрируемых данных по элементам, относящимся к процессам информационного взаимодействия. Примерный перечень параметров заложен в структуре таблиц рассматриваемого примера.
   Первый шаг. Описание информационного взаимодействия на основе физической структуры ИС. Например, рассмотрим в качестве объекта автоматизации процесс обработки заказа на предприятии, занимающегося изготовлением изделий из металла. Организационная структура объекта представлена на рис. 1. Прежде всего должны быть определены рабочие места, участвующие в процессе. При этом учитываются только те, на которых происходит обработка данных, относящихся к рассматриваемому процессу.

6