ФЕДЕРАЛЬНОЕ АГЕНТСТВО ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА

ОМСКИЙ ГОСУДАРСТВЕННЫЙ УНЕВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ

Дата сдачи: 09.02.02г.

кафедра «Системы и технологии защиты информации»

КУРСОВАЯ РАБОТА

по дисциплине: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ

на тему: Разработка комплексной системы защиты информации объекта защиты.

Вариант №15

Проверил: Выполнил:

преподаватель студентка: Крюкова А.Н.

Решков К.А. шифр: 2000-ИТ-1250

Омск

2004

Введение

Становление информационного общества связано с широким распространением персональных компьютеров, построением глобальной информационной Сети и подключения к ней большого числа пользователей. Эти достижения должны коренным образом изменить жизнь общества, выдвинув на передний план деятельность, связанную с производством, потреблением, трансляцией и хранением информации.

Одной из наиболее серьезных проблем, затрудняющих применение информационных технологий, является обеспечение информационной безопасности.

Информационная безопасность – такое состояние рассматриваемой системы, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних угроз, а с другой – её функционирование не создаёт информационных угроз для элементов самой системы и внешней среды.

Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации или несанкционированными и непреднамеренными воздействиями на нее.

Компьютерная революция помогла информации стать центром внимания основополагающих воззрений. Признание информации основой жизни вряд ли сводимо к внутренним мотивациям. Социальные, экономические и политические науки в попытках осознания происходящих перемен обращают пристальное внимание на компьютерную информацию, как на новый фактор глобального влияния.

Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Согласно ГОСТу 350922-96, защита информации - это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Целью курсовой работы является:

Разработать комплексную систему защиты информации, обеспечивающую выполнение требований соответствующей нормативной базы и блокирование определенных технических каналов утечки информации.

1. Описание объекта защиты

1.1 Описание вида деятельности и формы собственности объекта защиты

Объектом защиты в данной курсовой работе согласно Гост Р51275-99. об Объекте информатизации, то есть - это совокупность информационных средств и систем обработки информации, используемые в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещение или объектов, в которых они установлены или помещения и объекты, предназначенные ведения конфиденциальных переговоров. Будет являться Помещение состоящего из 1 компьютера и проектора для презентаций. Используется для проведения заседаний совета директоров. На компьютере содержатся данные относящиеся к коммерческой тайне.

Помещение находится в здании отделения дороги Златоустовского региона в региональном отделе автоматизированной системы управления, для проведения информационных заседаний и решения различных вопросов по отделу. Объект защищается на уровне Регионального отдела автоматизированной системы управления занимающийся деятельностью информационных ресурсов, поставке и настройке программного обеспечения ПК для пользователей различных предприятий Златоустовского региона. Данное помещение используется отделом для заседаний и советов по решению различных информационных вопросов в количестве 7 ответственных лиц заседания.

Вариант задания для курсовой работы

№	Граница контролируемой зоны	Категория информации ограниченного доступа	Технический канал утечки информации(угроза)
№	помещение	КТ	ВА	ОК

Принятые сокращения:

ПД – персональные данные;

КТ – коммерческая тайна;

СТ – служебная тайна;

ПЭМИ – паразитные электромагнитные излучения;

ВА – виброакустический;

ОЭ – оптико-электронный.

1.2 План объекта защиты, взаимное расположение других помещений

2. Категорирование информации на объекте защиты

2.1 Определение перечня общедоступной информации

Перечень общедоступной информации:

1. Информация об уставе организации, правилах внутреннего трудового распорядка дня и правил техники безопасности при работе с персональной техникой;

2. Информация о занимаемых должностях сотрудников, ФИО и их рабочих телефонах;

3. Информация о графике работы организации;

4. Клиентские база данных;

5. Информация о списках предприятий по региону и их курирующих лиц;

2.2 Определение перечня информации ограниченного доступа

Перечень информации ограниченного доступа:

1.Личная информация о сотрудниках и их должностных инструкциях;

2.Информация о поставках техники для распределяемых предприятий;

3.Информация о финансовой деятельности организации (бухгалтерский учет и заработной платы сотрудников);

4.Информация о сетевых настройках компьютеров и серверов;

5.Информация о документах организации;

3. Угрозы информации с ограниченным доступом

3.1 Определение перечня внутренних угроз

В реальности существует два вида угроз информационной безопасности:

1. Внутренняя:

- несанкционированный доступ в помещение;

- несанкционированный доступ к данным внутри корпоративной сети и данных ПК без ведома сотрудника;

- возможность записи информации на переносные устройства (флэш-накопители, CD- и DVD-диски и т.п.);

- пересылка фотоснимков бумажных носителей и экранов мониторов с помощью мобильных телефонов и другими способами, через удаленный доступ к ПК;

- программные вирусы и «троянские» программы;

- незаконное скачивание и распространение за пределами предприятия лицензионных программ организации;

- не контролируемая электронная почта;

- вынос техники организации, без соответствующего документа;

- внос посторонней техники на территорию организации;

3.2 определение перечня внешних угроз

2. Внешняя:

- несанкционированный доступ из сети Интернет;

- снятие информации с кабельных систем (ЛВС и электропитания) при помощи технических средств;

- запись разговоров на расстоянии сквозь стены (окна, двери) и т. д.;

-несанкционированная установка, микрофонов в помещениях;

4. Реализация комплексной системы защиты информации

4.1 Разработка системы разграничения доступа

4.1.1 Матрица доступа будет определять порядок доступа с соответствующими правами на запись (W), чтение
(R ), и модификацию данных (U) к общедоступной и закрытой информации различным ролям в сети.

Матрица доступа к общедоступным информационным ресурсам

Сотрудники	Роли
Сотрудники	G1	G2	G3	G4	G5
S1	R	R	R	RW	RW
S2	R	R	RW	RW	RW
S3	R	R	R	RW	RW
S4	R	R	R	RW	RW
S5	R	R	RW	RW	RW
S6	R	R	R	RW	RW
S7	RWU	RWU	RWU	RWU	RWU

Информация G доступ к которой не ограничен (общедоступная информация).

Роли G

G1. Информация об уставе организации, правилах внутреннего трудового распорядка дня и правил техники безопасности при работе с персональной техникой;

G2. Информация о занимаемых должностях сотрудников, ФИО и их рабочих телефонах;

G3. Информация о графике работы организации;

G4. Клиентские база данных;

G5. Информация о списках предприятий по региону и их курирующих лиц;

Сотрудники S

S1 Программист;

S2 Программист 1 категории;

S3 Программист 2 категории;

S4 Технолог;

S5 Технолог 1 категории;

S6 Техник 1 категории;

S7 Ведущий программист;

Информация G доступ к которой ограничен.