Обеспечение информационной безопасности автоматизированной системы обработки информации

Техническое задание

Введение

        Разрабатываемый проект по обеспечению информационной безопасности автоматизированной системы обработки информации (далее АСОИ) отдела информации ОАО «Кыргызстан» актуален и необходим по следующим причинам:

• Работа  ОАО «Кыргызстан» построена на использовании некой ценной секретной информации, которую эта фирма продаёт
• Утечка секретной информации может привести к крупным финансовым потерям и краху фирмы
• Информационный отдел на данный момент имеет 3 первые ступени защиты информации (правовые, морально-этические и административные)  от несанкционированного использования, безусловно не эффективные, принимая во внимание деятельность фирмы
• ОАО «Кыргызстан»  постоянно расширяет область своей деятельности и эксплуатационное оборудование. На данном этапе своей деятельности фирма уже не способна контролировать все возможные каналы утечки информации.

        Принимая во внимание вышеизложенные факты, совет директоров принял решение о создании отдела защиты информации с целью в ближайшее время провести анализ помещения информационного отдела и выявить возможные каналы утечки информации. Проведя анализ помещения отдела информации, необходимо разработать систему защиты информации от незаконного использования.

Назначение разработки

        В силу приведённых выше данных о секретной форме деятельности ОАО «Кыргызстан» встала актуальная проблема о сохранности и осторожном использовании секретных данных. В определённый момент развития фирмы, затраты на сохранность информации стали на много меньше, чем убытки от её утечки. Вследствие чего появилась финансовая необходимость защищать свою информацию.

        Данная разработка направлена на защиту АСОИ от удалённого злоумышленника, располагающего всеми возможными современными средствами перехвата и считывания информации. Конечной целью разработчика системы защиты является создание комплекса аппаратно-программных, технических и профилактических средств, направленных на сохранность информации информационного отдела ОАО «Кыргызстан» (рис.1).

[pic 1]

рис. 1 Схема помещения Информационного отдела

Технические требования к разрабатываемой системе

        Проведённая работа и анализ специфики деятельности объекта защиты выявили все возможные каналы передачи секретной информации:

• Аналоговый канал
• Стандартный цифровой канал
• Широкополосный предгрупповой канал с полосой частот от 12 до 24 кГц;
• Многоканальная цифровая система передачи с частотным разделением каналов (ЧРК).

        Ревизия АСОИ, а точнее, её компонентов, выявила следующие среды передачи информации:

• Коаксиальный кабель
• Лазерные линии связи
• Радиорелейная связь
• Мобильные системы персонального радиовызова (СПРВ) - пейджеры

        Дальнейшая работа показала, что из всех возможных каналов утечки информации наиболее актуальны четыре:

• Побочные Э/М  наводки
• Паразитная генерация
• Оптико-акустический канал
• Прямой акустический канал

         Совокупность всех установленных при полном анализе объекта компонентов АСОИ отдела информации ОАО «Кыргызстан» определила полное множество способов несанкционированного проникновения в систему злоумышленниками с целью получения необходимой секретной информации:

• Применение подслушивающих устройств
• Перехват электромагнитных излучений
• Перехват информации из каналов передачи
• Скрытая запись видеоинформации
• Преодоление программных средств защиты
• Незаконное подключение к аппаратуре или линиям связи вычислительной системы

        Основные функции:

• Экономическая   эффективность.   Стоимость   средств   защиты должна быть меньше, чем размеры возможного ущерба.
• Простота. Защита тем более эффективна, чем легче пользователю с ней работать.
• Отключаемость защиты. При нормальном функционировании защита не должна отключаться. Только в особых случаях сотрудник со специальными полномочиями может отключить систему защиты.
• Всеобщий контроль. Любые исключения из множества контролируемых субъектов  и  объектов защиты  снижают защищенность автоматизированного комплекса обработки информации.
• Принцип   враждебного   окружения.   Система   защиты  должна проектироваться в расчете на враждебное окружение. Разработчики должны исходить из предположения, что пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты.

        Показатели защищенности:

• Отчетность и подконтрольность. Система защиты должна предоставлять доказательства корректности своей работы.

        Требования к надежности:

• Изоляция и разделение. Объекты защиты целесообразно разделять на группы таким образом, чтобы нарушение защиты в одной из групп не влияло на безопасность других групп.
• Полнота и согласованность. Надежная система защиты должна быть полностью специфицирована, протестирована и согласована.

        Условия эксплуатации:

• Минимум привилегий. Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.
• Ответственность.   Подразумевается   личная   ответственность лиц, занимающихся обеспечением безопасности информации.
• Привлечение человека. Наиболее важные и критические решения должны приниматься человеком.
• Отсутствие излишней информации о существовании механизмов защиты. Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых должна контролироваться.
• Независимость системы защиты от субъектов защиты. Лица, занимавшиеся разработкой системы защиты, не должны быть в числе тех, кого эта система будет контролировать.

        Требования к составу и параметрам технических средств:

• Открытость проектирования и функционирования механизмов защиты. Специалисты, имеющие отношение к системе защиты, должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать.
• Средства защиты должны быть не громоздки и не выделятся на общем фоне, чтобы не затруднять работу (минимизировать при соблюдении правила:  средства не превышают цели проекта).
• Доступность. Технические средства защиты должны быть доступны для обслуживающего персонала в случае возникновения неисправности.

Требование к документации

        Проект состоит из пояснительной записки и графической части. Пояснительная записка (ПЗ) оформляется согласно требованиям ЕСКД к текстовым документам  и должна содержать:

• титульный лист;
• бланк с исходными данными для проектирования, подписанный руководителем;
• техническое задание
• введение;
• основное содержание;
• заключение;
• библиографический список.

Основная часть ПЗ должна содержать:

• структурную схему АСОИ, анализ исходных данных  с целью выделения уязвимых элементов, которые влияют на безопасность;
• определение и анализ возможных угроз выделенным элементам и формирование требований к системе защиты;
• обоснование наиболее подходящего варианта набора средств и мер защиты, использованием которых может быть реализована каждая из функций защиты;
• структуру и описание системы защиты информации, технические средства контроля защиты информации, включая предусмотренных мер по периодическому контролю правильности функционирования всех подсистем защиты.

Графическая часть должна содержать:

• Структурную схему АСОИ;
• Структурную схему системы защиты АСОИ.

Технико-экономические показатели

        Исходя из исследований возможных угроз и анализа помещения, в котором необходимо провести комплекс мер по защите информации, стала ясна ориентировочная стоимость затрат на закупку оборудования и проведение соответствующих работ по его монтированию, - она составляет 3000$ (не включая затраты на приобретение профилактически-поискового оборудования). Разработчик не гарантирует совпадения реальных расходов с этой цифрой. Но она не будет значительно выше. О ходе работ и рациональности использования денежных средств будет вестись строгая отчётность.

...