МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ
«ЛЬВІВСЬКА ПОЛІТЕХНІКА»
ІКТА
кафедра ЗІ
ЗВІТ
до лабораторної роботи №1
з курсу: «ІТ аудит кібербезпеки»
на тему:
«Виконання досліджень по оцінці захисту інформації в комп'ютерних системах
від несанкціонованого доступу та організація служби захисту інформації в
автоматизованій системі на об’єкті»
Виконав:
ст. гр. КБАС-11
Максимів Н.В.
Прийняв:
Лах Ю.В.
Львів 2023
Мета роботи - навчитись проводити оцінку захисту інформації в
комп'ютерних системах об’єкту та спроектувати підрозділ, відповідальний за
здійснення цього інформаційного захисту.
1.
2.
3.
4.
5.
6.
7.
Завдання
Розробити тезовий проект щодо захисту інформації в комп'ютерних
системах об’єкту, заданого у варіанті, та організації відповідної службу
захисту інформації і коротко описати у звіті.
Опис та аналіз об’єкта захисту
Виявлення потенційних каналів витоку інформації.
Постановка задач з програмно-апаратного захисту інформації на об’єкті.
Розробка Положення про підрозділ захисту інформації на об’єкті.
Створення підрозділу ЗІ.
Завдання для вдосконалення системи інформаційного захисту на об’єкті.
Варіант завдання
Максимів Назар
Музей дорогоцінностей – другий
поверх старого будинку в центрі
міста.
1. Опис та аналіз об’єкта захисту
2. Виявлення потенційних каналів витоку інформації.
3. Постановка задач з програмно-апаратного захисту інформації на об’єкті.
4. Розробка Положення про підрозділ захисту інформації на об’єкті на основі.
5. Створення підрозділу ЗІ.
6. Завдання для вдосконалення системи інформаційного захисту на об’єкті.
7. Висновки.
Виконання завдання
1.
ОПИС ТА АНАЛІЗ ОБ’ЄКТА ЗАХИСТУ
1.1 Опис заданого приміщення
Рис. 1.1. Розміщення об’єкту захисту.
Музей історичних скарбів розташований у великому старому будинку в центрі
міста. Приміщення має два поверхи, і кожен поверх вимагає окремого підходу
до забезпечення безпеки. Перший поверх музею призначений для входу та
основної експозиції, а також розміщена рецепція для реєстрації відвідувачів
музею. Другий поверх музею містить основні цінності та історичні експонати.
Захисту потребують як експонати музею, так і мережна інфраструктура, а саме
системи відеоспостереження, протипожежної сигналізації та охоронна система.
1.2.
Системи життєзабезпечення
В приміщеннях музею забезпечено такі системи:
 Система електроживлення – в музеї організоване живлення від
електромережі міста, а також на випадок непередбачуваних
випадків додатково встановлена система подачі безперебійного
живлення для протипожежної та системи відео нагляду.
 Мережева інфраструктура – передбачено мережу, за допомогою
якої проводиться відео нагляд та інші взаємодії з мережею
інтернет, а саме гостьові мережі призначені для відвідувачів.
 Система вентиляції приміщення
 Протипожежна система – а саме датчики диму, та системи
звукового сповіщення на випадок спрацювання датчиків
 Охоронна система – датчики руху, відкриття дверей, розбиття вікон.
2.
ВИЯВЛЕННЯ ПОТЕНЦІЙНИХ КАНАЛІВ ВИТОКУ ІНФОРМАЦІЇ.
Кібератаки: Зловмисники можуть проводити кібератаки на інформаційні
системи музею, намагаючись викрасти конфіденційну інформацію або завадити
роботі мережі. Це може включати в себе DDoS-атаки, вибухові програми
(малвару), фішинг тощо.
Соціальний інжиніринг: Зловмисники можуть намагатися вивести
інформацію від співробітників музею шляхом маніпуляції або обману.
Наприклад, шахраї можуть надаватися під співробітників та просити відкрити
доступ до систем або передати конфіденційні дані.
Загрози внутрішніх джерел: Співробітники музею, з метою особистої
вигоди або із недобросовісністю, можуть намагатися викрасти або витекти
інформацію. Це може стосуватися фізичного крадіжки або незаконного доступу
до комп'ютерних систем.
Неактуальне або недостатнє програмне забезпечення: Неоновлювані або
недостатньо захищені програмні засоби можуть стати вразливими перед
атаками. Важливо регулярно оновлювати та моніторити всі програмні складові
інфраструктури музею.
Слабка аутентифікація та авторизація: Якщо музей не встановлює
достатньо міцну систему аутентифікації та авторизації, то зловмисники можуть
отримати несанкціонований доступ до систем та інформації.
Зберігання та передача даних: Неякісне шифрування або незахищена
передача даних між музеєм та іншими організаціями може призвести до витоку
конфіденційної інформації.
Соціальні мережі та медіа: Публікація фотографій чи інформації про
дорогоцінні об'єкти на соціальних мережах або в медіа може привести до
недоцільного витоку інформації, особливо якщо деталі щодо безпеки не
контролюються.
Слабка фізична безпека: Недостатня фізична безпека музею може
дозволити зловмисникам незаконно отримати доступ до дорогоцінних об'єктів
або конфіденційних приміщень.
Канал витоку інформації - це спосіб чи шлях, яким конфіденційна або
секретна інформація може бути неправомірно розголошена, передана чи
витягнута з безпекового об'єкта.
Фізичний доступ і перехоплення:
1. Несанкціонований доступ до апаратури та з'єднань.
2. Перехоплення електромагнітних випромінювань.
3. Примусове електромагнітне опромінення (підсвічування) ліній
зв'язку.
4. Використання пристроїв для підслуховування (закладань).
5. Перехоплення акустичних випромінювань.
Дистанційний збір інформації:
6. Дистанційне фотографування.
Збір інформації через доступ до ресурсів:
7. Розкрадання носіїв інформації та виробничих відходів.
8. Зчитування даних, що належать іншим користувачам.
9. Читання залишкової інформації в пам'яті системи після
виконання санкціонованих запитів.
10.Копіювання інформації з носіїв, обійшовши заходи захисту.
Використання програмних методів:
11. Маскування під зареєстрованого користувача.
12.Використання програмних пасток.
13.Використання недоліків в програмуванні та операційних
системах.
14.Введення спеціальних блоків типу "троянський кінь" в бібліотеки
програм.
15.Використання комп'ютерних вірусів.
ПОСТАНОВКА ЗАДАЧ З ПРОГРАМНО-АПАРАТНОГО ЗАХИСТУ
ІНФОРМАЦІЇ НА ОБ’ЄКТІ.
Кожне джерело інформації має обладнання для забезпечення безпеки
інформації, яке відповідає його основним функціям, завданням та обов'язкам.
Давайте представимо дані про технічне забезпечення окремих підрозділів
безпеки в інших формулюваннях:
3.
Можливо виділити головні напрямки забезпечення матеріально-технічної
складової безпеки для цих підрозділів.
1. Захист від несанкціонованого доступу: Визначити та впровадити міцну
систему аутентифікації та авторизації для персоналу, який має доступ до
цінних об'єктів в музеї. Розглянути використання біометричних методів
ідентифікації та систем контролю доступу.
2. Захист від кібератак: Забезпечити мережеву безпеку музею шляхом
встановлення брандмауера, системи виявлення вторгнень та регулярним
оновленням програмного забезпечення. Захищати інформаційні системи
від вірусів, шкідливих програм та фішингу.
3. Збереження даних: Розробити систему регулярного резервного
копіювання і зберігання даних для захисту від можливого втрати
інформації внаслідок випадкового знищення, кібератак або природних
катастроф.
4. Моніторинг та виявлення інцидентів: Встановити систему моніторингу
мережі та інформаційних систем для оперативного виявлення аномалій і
потенційних загроз безпеці. Розробити план дій для відповіді на
інциденти безпеки.
5. Свідомість персоналу: Навчити персонал музею правилам кібербезпеки,
включаючи усвідомлення загроз та прийоми безпеки під час взаємодії з
інформаційними системами та дорогоцінними об'єктами. Проводити
регулярні тренінги та тестування на знання правил безпеки.
Принцип побудови охоронної сигналізації для музею дорогоцінностей
полягає в створенні системи, яка автоматично виявляє та сигналізує про
потенційні загрози безпеці музейних експонатів і інформації. Основними
елементами такої системи є датчики, контрольні панелі, сповіщувачі та системи
зв'язку.
Основні принципи
дорогоцінностей:
роботи
охоронної
сигналізації
для
музею
Датчики руху та відкриття: Система обладнана датчиками, які реагують на
рух або відкриття дверей і вікон. Ці датчики активуються, коли хтось
намагається незаконно потрапити в приміщення або отримати доступ до
експонатів.
Камери відеоспостереження: Важливою складовою системи є відеокамери,
які відслідковують події в музеї. Вони фіксують спроби несанкціонованого
доступу, рух осіб та інші події.
Сповіщення: Якщо будь-який з датчиків виявляє незвичайну активність,
система генерує сигнал тривожної ситуації. Цей сигнал може бути переданий до
центральної контрольної панелі охорони та одночасно відправлений на
віддалений моніторинг.
Віддалений моніторинг і реакція: Центральна контрольна панель
відслідковує сигнали в режимі реального часу і може взяти під контроль
ситуацію. Оператори центральної станції можуть взяти на себе відповідальність
за виклик правоохоронних органів або служби безпеки у разі загрози.
Звукова та світлова сигналізація: В разі спрацювання сигналу тривоги,
система може активувати звукові та світлові сигнали в музеї для відвернення
потенційних порушників і сповіщення персоналу про небезпеку.
Зв'язок з правоохоронними органами: У разі необхідності система може
автоматично взяти на себе обов'язок виклику правоохоронних органів, які
негайно прибудуть на об'єкт для втручання.
2. РОЗРОБКА ПОЛОЖЕННЯ ПРО ПІДРОЗДІЛ ЗАХИСТУ
ІНФОРМАЦІЇ НА ОБ’ЄКТІ.
2.1. Галузь використання
Даний документ регламентує діяльність СЗІ в інформаційнотелекомунікаційних системах (далі – ІТС або АС).
Вимоги цього документу є обов'язковими для СЗІ, підрозділів і окремих
співробітників, які здійснюють діяльність, пов'язану зі створенням та
обслуговуванням КСЗІ, підтримкою визначеного режиму роботи з інформацією,
що циркулює і обробляється в АС.
2.2. Визначення
В цьому документі використані терміни та визначення, встановлені ДСТУ
3396.2-96 «Захист інформації. Технічний захист інформації. Терміни та
визначення», НД ТЗІ 1.1-003-99 «Термінологія у галузі захисту інформації в
комп’ютерних системах від несанкціонованого доступу» та ДСТУ 2226-93
«Автоматизовані системи. Терміни та визначення».
2.3. Нормативні посилання
У цьому положенні наведено посилання на такі нормативні документи:
- Закон України «Про інформацію»;
- Закон
України
«Про
захист
інформації
в
інформаційнотелекомунікаційних системах»;
- Закон України «Про захист персональних даних»;
- Кодекс законів про працю України (КЗпП);
- Концепція технічного захисту інформації в Україні, затверджена
постановою Кабінету Міністрів України від 08.10.97 р., № 1126;
- -Положення про технічний захист інформації в Україні, затверджене
Указом Президента України від 27.09.99 р. №1229;
- НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в
комп'ютерних системах від несанкціонованого доступу, затверджений
наказом Департаменту спеціальних телекомунікаційних систем та захисту
інформації СБ України від 28.04.99 р. № 22;
- НД ТЗІ 1.1-003-99 Термінологія у галузі захисту інформації в
комп'ютерних системах від несанкціонованого доступу, затверджений
наказом Департаменту спеціальних телекомунікаційних систем та захисту
інформації СБ України від 28.04.99 р. № 22;
- НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних
системах від несанкціонованого доступу, затверджений наказом
Департаменту спеціальних телекомунікаційних систем та захисту
інформації СБ України від 28.04.99 р. № 22;
- НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні
функціональні профілі захищеності оброблювальної інформації від
несанкціонованого доступу, затверджений наказом Департаменту
спеціальних телекомунікаційних систем та захисту інформації СБ України
від 28.04.99 р. №22;
- НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання
на створення системи захисту інформації в автоматизованій системі,
затверджений наказом Департаменту спеціальних телекомунікаційних
систем та захисту інформації СБ України від 28.04.99. р. № 22;
- НД ТЗІ 1.4–001-2000 Типове положення про службу захисту інформації в
автоматизованій системі, затверджений наказом Департаменту
спеціальних телекомунікаційних систем та захисту інформації СБ України
від 04.12.2000 р. № 53.
2.4. Загальні положення
4.4.1 Дане Положення є нормативним документом Служби захисту інформації
(СЗІ) і визначає завдання, функції, штатну структуру СЗІ, повноваження та
відповідальність співробітників служби, взаємодію з іншими підрозділами та
зовнішніми організаціями.
4.4.2 СЗІ створюється на підставі наказу директора.
4.4.3 Метою створення СЗІ є організаційне забезпечення завдань керування КСЗІ
АС та здійснення контролю за її функціонуванням. На СЗІ покладається
виконання робіт з визначення вимог із захисту інформації АС, приймання участі
у проектуванні та розробленні, експлуатації, обслуговуванні, підтримки
працездатності, проведенні модернізацій АС, а також контролюванні стану
захищеності інформації в ІТС.
2.5. Завдання служби захисту інформації
Завданнями СЗІ є:
- забезпечення виконання в АС послуг конфіденційності, цілісності,
доступності та спостереженості інформації, що циркулює в АС;
- дослідження технології обробки інформації в АС з метою виявлення
можливих каналів витоку та інших загроз для безпеки інформації, внесення
змін до моделі загроз;
- дотримання вимог політики безпеки інформації, проведення заходів,
спрямованих на її реалізацію;
- організація та координація робіт, пов’язаних із захистом інформації в АС,
підтримка необхідного рівня захищеності інформації, ресурсів і
технологій;-розроблення нормативних і розпорядчих документів, чинних
у межах АС, згідно з якими повинен забезпечуватися захист інформації в
АС;
- участь в організації професійної підготовки і підвищенні кваліфікації
персоналу АС та користувачів функціональних підсистем АС з питань
захисту інформації;
- формування у персоналу і користувачів розуміння необхідності виконання
вимог нормативно-правових актів, нормативних і розпорядчих документів
АС, що стосуються сфери захисту інформації;-проведення профілактичних
заходів спрямованих на попередження та виявлення загроз інформаційним
ресурсам АС;
- забезпечення та контроль виконання персоналом і користувачами вимог
нормативно-правових актів, нормативних і розпорядчих документів із
захисту інформації АС.
2.6. Функції служби захисту інформації
4.6.1 Функції під час створення КСЗІ:
- визначення переліків відомостей, які підлягають захисту в процесі
обробки, інших об’єктів захисту в АС, класифікація інформації за
важливістю для визначення необхідних рівнів захищеності інформації,
порядку введення (виведення), використання та розпорядження
інформацією в АС;
- участь в розробці та коригування моделі загроз інформації в АС, політики
безпеки інформації АС;
- -визначення і формування вимог до КСЗІ;
- організація і координація робіт з проектування та розробки КСЗІ,
приймання безпосередньої участі у проектних роботах зі створення КСЗІ.
2.7. Повноваження та відповідальність служби захисту інформації
4.7.1. Права СЗІ має право:
- здійснювати контроль за діяльністю будь-якого структурного підрозділу
щодо виконання ним вимог нормативно-правових актів і нормативних
документів з захисту інформації в АС;
- подавати керівництву підрозділів пропозиції щодо призупинення процесу
обробки інформації, заборони обробки, зміни режимів обробки у випадку
виявлення порушень політики безпеки або реальних загроз її порушення;
- складати і подавати керівництву підрозділів акти щодо виявлених
порушень політики безпеки, готувати рекомендації щодо їхнього
усунення;-проводити службові розслідування у випадках виявлення
порушень;
- готувати пропозиції з обґрунтуваннями щодо залучення на договірній
основі до виконання робіт з захисту інформації інших організацій, які
мають ліцензії на відповідний вид діяльності;-готувати пропозиції щодо
забезпечення КСЗІ необхідними технічними і програмними засобами
захисту інформації та іншою спеціальною технікою, які дозволені для
використання в Україні з метою забезпечення інформаційної безпеки.
4.7.2 Обов’язки СЗІ зобов’язана:
- організовувати забезпечення повноти та якісного виконання
організаційно-технічних заходів з захисту інформації в АС;
- вчасно і в повному обсязі доводити до персоналу і користувачів АС
інформацію про зміни в галузі захисту інформації, які їх стосуються;перевіряти на відповідність внутрішній політиці безпеки прийняті правила
та інструкції щодо обробки інформації, здійснювати контроль за
виконанням цих вимог;
- здійснювати контрольні перевірки стану захищеності інформації в АС;
- забезпечувати конфіденційність робіт з монтажу, експлуатації та
технічного обслуговування засобів захисту інформації, встановлених в АС.
4.7.3. Відповідальність
Керівництво та співробітники СЗІ за невиконання або неналежне
виконання службових обов’язків та допущені ними порушення встановленого
порядку захисту інформації в АС несуть дисциплінарну, адміністративну,
цивільно-правову, кримінальну відповідальність згідно з законодавством
України. Персональна відповідальність керівника та співробітників СЗІ
визначається посадовими (функціональними) інструкціями.
4.7. Взаємодія служби захисту інформації з іншими підрозділами
організації та зовнішніми організаціями
4.8.1 СЗІ здійснює свою діяльність у взаємодії з науковими, виробничими та
іншими організаціями, державними органами і установами, що займаються
питаннями захисту інформації.
4.8. Штатний розклад та структура служби захисту інформації
4.9.1 СЗІ безпосередньо підпорядковується директору установи. За відсутності
директора установи керівник СЗІ приймає рішення пов’язані з захистом
інформації самостійно.
4.9. Організація робіт служби захисту інформації
4.10.1 Трудові відносини в СЗІ будуються на основі законодавства України з
урахуванням положень та встановлених в установі норм техніки безпеки праці,
інших розпорядчих документів установи.
4.10.2 СЗІ здійснює свою роботу з реалізації основних організаційних та
організаційно-технічних заходів зі створення і забезпечення функціонування
КСЗІ у відповідності з планами робіт.
5.
СТВОРЕННЯ ПІДРОЗДІЛУ ЗІ.
З метою організаційного забезпечення управління комплексною
системою захисту інформації (КСЗІ) на підприємстві та контролю за її
функціонуванням створено підрозділ захисту інформації (ПЗІ).
ПЗІ відповідає за визначення вимог до захисту інформації у системах
автоматизованої обробки даних на підприємстві, проектування, розроблення,
модернізацію та експлуатацію КСЗІ. Він також здійснює обслуговування та
підтримку працездатності КСЗІ та контроль за рівнем захищеності інформації в
КС.
Правова основа для функціонування ПЗІ включає Закон України "Про
державну таємницю", Закон України "Про захист інформації в автоматизованих
системах", а також інші законодавчі акти та нормативні документи, що
регулюють захист інформації.
ПЗІ спирається на плани захисту інформації, календарні та перспективні
плани робіт, затверджені керівництвом підприємства. ПЗІ також може залучати
внутрішні та зовнішні підрозділи та організації для виконання заходів з захисту
інформації.
У своїй роботі ПЗІ взаємодіє з іншими підрозділами підприємства
(наприклад, РСО, службою охорони) і співпрацює з державними органами і
структурами, які також займаються захистом інформації.
Під час виконання окремих завдань з захисту інформації, які можуть
стосуватися різних підрозділів підприємства, керівництво підприємства може
видавати відповідні накази, які визначають перелік робіт, строки виконання та
відповідальні підрозділи.
Таким чином, ПЗІ відіграє ключову роль у забезпеченні безпеки та захисту
інформації на підприємстві згідно з вимогами законодавства та внутрішніми
стандартами.
Завданнями Підрозділу Захисту Інформації (ПЗІ) є:
1. Забезпечення безпеки інформації для структурних підрозділів та
персоналу підприємства під час їхньої інформаційної діяльності та
взаємодії як всередині підприємства, так і з іншими вітчизняними та
закордонними організаціями.
2. Вивчення технологій обробки інформації для виявлення можливих загроз
безпеці інформації, створення моделей загроз, розробка політики
безпеки, та визначення заходів її реалізації.
3. Координація та організація робіт, пов'язаних із захистом інформації на
підприємстві, що вимагається чинним законодавством, та підтримка
необхідного рівня захищеності інформації, ресурсів та технологій.
4. Розроблення проектів нормативних та розпорядчих документів, що
регулюють захист інформації на підприємстві.
5. Організація створення та використання комплексних систем захисту
інформації (КСЗІ) на всіх етапах їхнього життєвого циклу.
6. Участь у професійній підготовці та навчанні персоналу та користувачів КС
щодо питань безпеки інформації.
7. Формування усвідомлення серед персоналу та користувачів підприємства
необхідності виконання вимог нормативно-правових актів та документів
щодо захисту інформації.
8. Контроль та забезпечення виконання вимог нормативно-правових актів та
документів з питань захисту інформації, включаючи проведення
контрольних перевірок їх виконання.
9. Захист властивостей інформації (конфіденційності, цілісності, доступності)
в системах та при роботі з інформацією.
10.Виявлення та ліквідація загроз для ресурсів комплексної системи,
включаючи аналіз причин та умов їх виникнення.
11.Швидке реагування на загрози та події, що можуть вплинути на безпеку
інформації та функціонування систем.
12.Здійснення заходів для зменшення негативного впливу наслідків
порушення безпеки на функціонування КС.
6.
ЗАВДАННЯ ДЛЯ ВДОСКОНАЛЕННЯ СИСТЕМИ
ІНФОРМАЦІЙНОГО ЗАХИСТУ НА ОБ’ЄКТІ.
1. Провести оцінку ризиків і визначити потенційні загрози для
інформаційної безпеки на об'єкті.
2. Розробити та впровадити стратегію та політику інформаційної безпеки
для саме цього типу об'єкту.
3. Провести навчання та тренування персоналу щодо забезпечення
інформаційної безпеки.
4. Постійно моніторити та аналізувати загрози і вразливості системи
інформаційного захисту та вдосконалювати її відповідно до змінюваних
обставин і вимог безпеки.
Висновок
В результаті виконання лабораторної роботи я навчився проводити оцінку
захисту інформації в комп'ютерних системах об’єкту та спроектував підрозділ,
відповідальний за здійснення цього інформаційного захисту. Та визначив які
основні аспекти за якими потрібно проводити основний акцент.