Аттестационная работа (ВАР/ВКР) на тему Оценка защищенности автоматизированного рабочего места от утечки конфиденциальной информации по каналу ПЭМИ считывателя SD-карт.

Содержание:

Введение 5
1. Описательная модель организации и обоснование объекта защиты 7
1.1 Правовые основы защиты информации в организации 7
1.2. Анализ автоматизированного рабочего места как объекта защиты 9
1.3.Обоснование возможных каналов утечки информации 13
1.4. Выводы по первой главе 14
2. Оценка защищенности автоматизированного рабочего места по каналу побочных электромагнитных излучений 16
2.1. Источники побочных электромагнитных излучений в персональной ЭВМ 16
2.2. Методика измерения побочных электромагнитных излучений 19
2.3. Измерение уровней побочных электромагнитных излучений и расчёт зоны R2 26
2.4. Выводы по второй главе 28
3. Оценка защищенности автоматизированного рабочего места и разработка рекомендаций по его защите 29
3.1. Описание особенностей обмена информацией между SD-картой и устройством чтения 29
3.2.Оценка уровней побочных электромагнитных излучений от устройства чтения SD-карт 30
3.3 Разработка рекомендаций по защите АРМ от утечки конфиденциальной информации по каналу ПЭМИ 33
Заключение 47
Список используемых источников 48

Введение:

В связи с бурным развитием информационно-коммуникационных технологий, связанных с компьютерной техникой, и проблемой защищенности автоматизированного рабочего места от утечки конфиденциальной информации по каналу побочных электромагнитных излучений, вопросы непосредственной защищенности приобретают особую важность. Поэтому тема выпускной квалификационной работы является актуальной.
Целью работы является разработка рекомендаций и оценка защищенности автоматизированного рабочего места от утечки конфиденциальной информации считывателя SD-карт.
Для достижения поставленной цели необходимо решить следующие задачи:
1.Определить правовые основы защиты информации и основные документы, регламентирующие защиту конфиденциальной информации.
2. Выполнить оценку защищенности автоматизированного рабочего места по каналу побочных электромагнитных излучений.
3. Разработать рекомендации по защите автоматизированного рабочего места и обосновать экономическую эффективность предлагаемых мероприятий.
Работа состоит из Введения, треъ глав, Заключения, Списка используемых источников, насчитывающих 19 наименований.
В первой главе выпускной квалификационной работы рассматриваются правовые основы защиты информации и описательная модель информационной системы организации. Определяются возможные угрозы утечки конфиденциальной информации.
Во второй главе работы рассматривается рассматриваются возможные источники излучения в ПЭВМ, а также описываются методика измерений и порядок измерений с указанием особенностей и размещением аппаратуры.
Третья глава посвящена описанию особенностей обмена информацией между SD-картой и устройством чтения, оценке уровня ПЭМИ, а также оценке экономической эффективности внедрения предлагаемых средств для обеспечения защищенности автоматизированного рабочего места от утечки конфиденциальной информации по каналу ПЭМИ считывателя SD-карт в информационной системе организации.

Заключение:

1. На основе анализа современной правовой, законодательной и нормативно-методической базы по защите информации определены правовые основы защиты персональных данных и основные документы, регламентирующие их защиту. К общему числу наиболее важных относятся порядка 20 документов, регламентирующих общие вопросы защиты персональных данных. На основании нормативно-методических документов определены возможные источники угроз безопасности персональным данным.
2. Рассмотрена оценка защищенности автоматизированного рабочего места по каналу побочных электромагнитных излучений. Рассмотрена методика выполнения измерений и порядок проведения расчетов. Данные процедуры требуется проводить для измерений по уровню излучения SD-карт, который является наиболее мощным и по амплитуде, и по спектру излучения, что является важным для оценки степени защищённости АРМ и рекомендаций по его защите.
3. Произведена оценка защищенности автоматизированного рабочего места и выполнена разработка рекомендаций по его защите. Установлено, что лучшим решением является использование активных средств защиты. Проведен расчет экономического эффекта от внедрения. Установлено, что система защиты по каналу ПЭМИ имеет более высокий технический уровень по сравнению с аналогом. Это говорит о конкурентоспособности проектируемой системы. Данная разработка также имеет достаточно хороший срок окупаемости 1,55 года.

Фрагмент текста работы:

Описательная модель организации и обоснование объекта защиты
1.1 Правовые основы защиты информации в организации
В настоящее время информация стала рыночным товаром, имеющим большой спрос, как на внутреннем, так и на внешнем рынке.
Информационные технологии постоянно совершенствуются в направлении их автоматизации и способов защиты информации.
Развитие новых информационных технологий сопровождаются такими негативными явлениями, как промышленный шпионаж, компьютерные преступления и несанкционированный доступ (НСД) к конфиденциальной информации.
Поэтому защита информации является важнейшей государственной задачей в любой стране. Острая необходимость в защите информации в России нашла выражение в создании Государственной системы защиты информации (ГСЗИ) [1] и в развитии правовой базы информационной безопасности.
Правовые основы защиты информации, циркулирующей в информационной сети организации, регламентируются следующими нормативно-правовыми документами.
— В [1] отмечается, что к числу методов защиты информации относятся правовые, организационные, технические и экономические методы защиты информации. Кроме того, одними из основных организационно-технических мер по защите информации являются лицензирование деятельности, сертификация средств ЗИ и аттестация объектов информатизации.
Нормативный документ [1] указывает на то, что в стране создана и действует ГСЗИ;
— В [2] приведены концепции защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Указано, что защита автоматизированной системы (АС) должна предусматривать контроль эффективности средств защиты от несанкционированного доступа (НСД). Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами.
В [3] приводятся термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Указано, что установленные термины обязательны для применения во всех видах документации.
В [4] представлена классификация автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.
В [5] установлена информация, которая предоставляет коммерческую ценность в силу неизвестности ее третьим лицам.
В [6] представлены положения защиты информации.
В [7] представлены основные положения, которые предназначены для обеспечения информационной безопасности.
В [8] представлены особенности обработки персональных данных и порядок проведения данной обработки в информационных системах, которые не используют средства автоматизации.
В [9] указано, что безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора.
Также в данном правовом документе указаны уровни защищенности персональных данных, а также представлены типы угроз для конфиденциальной информации.
В нормативном документе [10] указано, что для обработки информации, необходимость защиты которой определяется законодательством Российской Федерации или решением ее обладателя, должны создаваться автоматизированные системы защиты информации, в которых реализованы в соответствии с действующими нормативными правовыми актами требования о защите информации.