Информационная безопасность кабинета директора МБОУ ДОД ЦДОД «Аэрокосмическая школа»
Директор МБОУ ДОД ЦДОД «Аэрокосмическая школа» осуществляет руководство образовательным учреждением, решает кадровые, административные, финансовые, хозяйственные и иные вопросы в соответствии с уставом образовательного учреждения, принимает локальные нормативные акты образовательного учреждения, разрабатывает и утверждает должностные инструкции, определяет должностные обязанности всех категорий… Читать ещё >
Информационная безопасность кабинета директора МБОУ ДОД ЦДОД «Аэрокосмическая школа» (реферат, курсовая, диплом, контрольная)
Реферат ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ КАБИНЕТА ДИРЕКТОРА МБОУ ДОД ЦДОД «АЭРОКОСМИЧЕСКАЯ ШКОЛА»
ОГЛАВЛЕНИЕ ВВЕДЕНИЕ
1. ОПИСАНИЕ ОБЪЕКТА
1.1 Расположение и общее описание объекта
1.2 Описание коммуникаций
1.3 Описание технических средств и систем
2. ДЕЯТЕЛЬНОСТЬ ОБЪЕКТА
3. ЗАЩИЩАЕМЫЕ СВЕДЕНИЯ
4. ОПИСАНИЕ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЪЕКТА ИНФОМАТИЗАЦИИ
5. АНАЛИЗ ЗАЩИЩЕННОСТИ ОБЪЕКТА ОТ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЗАКЛЮЧЕНИЕ БИБЛИОГРАФИЧЕСКИЙ СПИСОК Приложение 1
Приложение 2
ВВЕДЕНИЕ
Целью данной работы является оценка угроз информационной безопасности кабинета директора муниципального бюджетного образовательного учреждения дополнительного образования детей «Центр дополнительного образования детей «Аэрокосмическая школа» .
Для достижения данной цели были поставлены следующие задачи:
1. собрать информацию об объекте информатизации;
2. определить информацию, подлежащую защите;
3. выявить угрозы информационной безопасности;
4. проанализировать угрозы информационной безопасности;
5. сделать вывод о состоянии защищенности данного помещения.
1. ОПИСАНИЕ ОБЪЕКТА
1.1 Расположение и общее описание объекта
Кабинет директора МБОУ ДОД ЦДОД «Аэрокосмическая школа» находится на втором этаже, в восточном крыле четырехэтажного кирпичного здания.
Размеры помещения: 2,75×5,93×3,42 м, площадь — 16,3 м². Входная дверь — деревянная, толщиной 3,5 мм, с цилиндровым замком. Перекрытия — деревянные. На полу постелен линолеум, стены побелены, на потолке — гипсовая плитка. На южной стене — двустворчатое окно с форточкой. Рама окна — деревянная. Размеры окна: 2,25×1,85 м. На окне установлены вертикальные тканевые жалюзи. Решеток нет.
На юге, на расстоянии 30 метров от здания, расположен жилой пятиэтажный панельный дом.
В описываемом помещении оборудовано 2 рабочих места: место директора и место заместителя директора по УВР.
Ключ от помещения имеет директор, заместитель директора по учебно-воспитательной работе, секретарь учебной части, уборщик служебных помещений.
Смежными помещениями с кабинетом директора являются:
— с восточной стороны — кабинет заместителя директора по учебно-воспитательной работе (УВР), отделен кирпичной стеной;
— с западной стороны — учебный класс, отделен гипсокартонной перегородкой;
— напротив — кабинет председателя попечительского совета;
— над помещением, на третьем этаже, расположен учебный класс;
— под помещением, на первом этаже, находится складское помещение.
1.2 Описание коммуникаций
Под подоконником — радиатор чугунной батареи отопления, подключенный к стояку отопительной системы, который проложен от подвального помещения до чердачного помещения.
В кабинете организованна вытяжная вентиляция. Вентиляционное отверстие расположено на восточной стене.
В помещении две двойных розетки и одна одинарная розетка электроснабжения на 220 В. Освещение осуществляется двумя люстрами, в каждой из которых используется 4 компактные люминесцентные лампы мощностью 75 Вт. Возле двери находится выключатель. Трехжильный кабель электроснабжения (ноль, фаза, земля) проложен в помещение от распределительного щита, подключенного к городской электросети.
В помещении проложена телефонная сеть, телефонный кабель проложен из смежного помещения.
Помещение оборудовано двумя извещателями дымовыми пожарными, которые подключены к приемно-контрольному охранно-пожарному прибору, расположенному на первом этаже у вахтера. Шлейф проложен из смежного помещения.
Расположение коммуникаций в помещении отображено в Приложении 2.
1.3 Описание технических средств и систем
Рабочее место директора и рабочее место заместителя директора по УВР оборудованы однотипными ПЭВМ:
— процессор Intel Core 2 Duo E8400, 3 ГГц;
— 2 Гб ОЗУ;
— монитор LG Flatron L1953S;
— DVD-привод Optiarc DVD RW AD-7203S;
— жесткий диск HDD 500 Gb SATA-II 300 Hitachi Deskstar P7K500 7200rpm 16Mb;
— беспроводной USB-адаптер D-Link DWA-110.
На компьютерах установлена операционная система Microsoft Windows XP Home Edition Service Pack 3. Программное обеспечение: пакет программ Microsoft Office 2007, браузер Opera 10.10, ПО для просмотра электронных документов в формате PDF «Foxit Reader 4.3», антивирусное ПО Dr. Web 6.0.3.11261. Все установленное ПО — лицензионное.
Обновление антивирусных баз осуществляется автоматически, 1 раз в сутки.
Учетная запись гостя отключена, учетная запись администратора защищена паролем.
Доступ в интернет осуществляется при помощи технологии беспроводной сети. Беспроводной маршрутизатор D-Link DSL-2640U установлен под потолком в коридоре возле описываемого помещения. Авторизация при подключении к интернету осуществляется при помощи пароля. На обеих ПЭВМ используется встроенный межсетевой экран Windows.
ПЭВМ директора и ПЭВМ заместителя директора по УВР объединены в локальную сеть.
Оба ПЭВМ подключены к источнику бесперебойного питания Ippon Smart Pro 2000, установленному в тумбе, возле рабочего места директора.
Лицо, ответственное за настройку ПЭВМ — лаборант.
ПЭВМ директора подключена к лазерному принтеру HP LaserJet P2014, установленному на тумбе возле рабочего места директора.
Возле рабочего места заместителя директора по УВР установлено МФУ Sharp AL 1217.
На столе возле рабочего места директора установлены 2 телефонных аппарата:
— Panasonic KX-TGA828RU;
— Unitel City «Мурманск» .
Также в описываемом помещении находится холодильник «Бирюса 6с1» и электрический чайник «Tefal BE 5310 Delfina» .
ИБП, лазерный принтер, МФУ, телефоны, холодильник и чайник подключены к сетевым фильтрам:
— на 5 розеток «MOST ERG» ;
— на 6 розеток «Pilot-Pro» .
Сетевые фильтры подключаются к розеткам электроснабжения.
2. ДЕЯТЕЛЬНОСТЬ ОБЪЕКТА
Директор МБОУ ДОД ЦДОД «Аэрокосмическая школа» осуществляет руководство образовательным учреждением, решает кадровые, административные, финансовые, хозяйственные и иные вопросы в соответствии с уставом образовательного учреждения, принимает локальные нормативные акты образовательного учреждения, разрабатывает и утверждает должностные инструкции, определяет должностные обязанности всех категорий работников учреждения.
Заместитель директора по УВР осуществляет управление функционированием образовательного учреждения, выполняет распоряжения директора, планирует деятельность педагогического коллектива.
С точки зрения обеспечения информационной безопасности директор имеет право:
— назначать ответственного за обработку персональных данных;
— издавать нормативные и распорядительные документы, определяющие механизмы защиты персональных данных и правила доступа к ним;
— включать требования по обеспечению информационной безопасности в коллективный договор;
— разрабатывать приказы, распоряжения и инструкции, регламентирующие проведение в образовательном учреждении мероприятий по информационной безопасности сотрудниками и учащимися;
— проводить контроль за выполнением мероприятий, связанных с защитой информации.
3. ЗАЩИЩАЕМЫЕ СВЕДЕНИЯ
Всю информацию, обрабатываемую в описываемом помещении можно разделить на три категории:
1. Информация на бумажных носителях:
— персональные данные сотрудников;
— персональные данные обучающихся;
— приказы по личному составу;
— патенты;
— локальные акты.
2. Информация, представленная в электронном виде:
— документы по аттестации преподавателей;
— отчеты о проделанной работе;
— заявки на участие в конкурсах;
— локальные акты;
— протоколы комиссий.
3. Речевая информация:
— внутренние совещания.
Персональные данные сотрудников защищаются в соответствии с Положением о защите персональных данных работников МБОУ ДОД ЦДОД «Аэрокосмическая школа». Данное положение определяет права и обязанности руководителя и работников, порядок использования персональных данных в служебных целях, а также порядок взаимодействия по поводу сбора, документирования, хранения и уничтожения персональных данных работников. В этом положении отображено:
— состав персональных данных;
— порядок сбора, хранения, уничтожения персональных данных;
— порядок доступа и список должностных лиц и организаций, имеющих право на доступ к персональным данным;
— меры защиты персональных данных;
— ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.
Каждый сотрудник учреждения заполняет «Заявление о согласии на обработку персональных данных» .
4. ОПИСАНИЕ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЪЕКТА ИНФОМАТИЗАЦИИ
информационный безопасность помещение технический Угрозы информационной безопасности можно разделить на три категории:
1. обусловленные действиями субъекта (антропогенные угрозы);
2. обусловленные техническими средствами (техногенные угрозы);
3. стихийные угрозы.
Антропогенные угрозы в свою очередь делятся:
— по расположению источника угроз:
· внешние;
· внутренние;
— по преднамеренности воздействия:
· непреднамеренные (случайные);
· преднамеренные.
Рассмотрим возможные угрозы информационной безопасности:
1. Антропогенные:
1.1. Внешние непреднамеренные:
— случайное подслушивание;
— случайный просмотр информации на мониторе ПЭВМ;
— случайный просмотр бумажных носителей информации.
1.2. Внешние преднамеренные:
— хищение или уничтожение носителей информации;
— съем информации по акустическому каналу;
— съем информации по виброакустическому каналу;
— внедрение закладных устройств;
— прослушивание телефонных разговоров;
— доступ к информации из сети интернет;
— перехват побочных электромагнитных излучений и наводок;
— наблюдение из соседних зданий;
— съем информации по оптико-электронному каналу;
— нарушение работоспособности технических средств;
— агентурные методы воздействия на сотрудников учреждения;
— нежелательные электронные письма.
1.3. Внутренние непреднамеренные:
— непреднамеренное удаление или искажение информации;
— утрата, неумышленное уничтожение носителей информации;
— непреднамеренное разглашение информации;
— непреднамеренный запуск вредоносных программ;
— непреднамеренный вызов сбоев в работе технических средств;
— оставление рабочего места.
1.4. Внутренние преднамеренные:
— хищение носителей информации;
— изменение, удаление, блокирование информации;
— несанкционированное копирование информации;
— несанкционированное отключение средств защиты;
— внедрение закладных устройств;
— вывод из строя технических средств;
— разглашение информации.
2. Техногенные:
— сбои электроснабжения;
— отказы программного обеспечения;
— отказы технических средств;
— пожар;
— затопление.
3. Стихийные:
— землетрясение;
— наводнение;
— удар молнии.
5. АНАЛИЗ ЗАЩИЩЕННОСТИ ОБЪЕКТА ОТ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Наименование угрозы | Источник угрозы | Реализация угрозы | Меры противодействия угрозе, принятые в учреждении | |
АНТРОПОГЕННЫЕ ИСТОЧНИКИ УГРОЗ | ||||
ВНЕШНИЕ, НЕПРЕДНАМЕРЕННЫЕ (СЛУЧАЙНЫЕ) | ||||
Случайное подслушивание | Третьи лица, обучающиеся, сотрудники, не имеющие доступа к данной информации | Ведение переговоров в присутствии третьих лиц или при открытой двери | Деревянная дверь с цилиндровым замком, инструктаж сотрудников | |
Случайный просмотр информации на мониторе ПЭВМ | Третьи лица, обучающиеся, сотрудники, не имеющие доступа к данной информации | Работа с информацией, представленной в электронном виде в присутствии третьих лиц, оставление включенного ПЭВМ с информацией на мониторе | Блокировка ПЭВМ при простое, для разблокирования необходимо ввести пароль | |
Случайный просмотр бумажных носителей информации | Третьи лица, обучающиеся, сотрудники, не имеющие доступа к данной информации | Работа с бумажным носителем информации в присутствии третьих лиц, оставление носителя на рабочем месте | Бумажные носители информации убираются в шкафы | |
ВНЕШНИЕ, ПРЕДНАМЕРЕННЫЕ | ||||
Хищение или уничтожение носителя информации | Злоумышленник | Проникновение в помещение с целью хищения или уничтожения носителя информации | Закрываемые входы в здание, наличие на входе в здание вахтера или охранника, запираемая на ключ дверь в помещение | |
Съем информации по акустическому каналу | Злоумышленник | Подслушивание переговоров из соседних помещений | Доступ третьих лиц в смежные кабинеты возможен лишь в присутствии администрации или преподавателя | |
Съем информации по виброакустическому каналу | Злоумышленник | Съем информации со стояка системы отопления на третьем или первом этаже | Защита не предусмотрена | |
Внедрение закладных устройств | Злоумышленник | Внедрение закладных программных и аппаратных устройств | Ключ от помещения имеют 4 сотрудника учреждения, третьи лица могут находиться только в присутствии директора или его заместителя по УВР | |
Прослушивание телефонных разговоров | Злоумышленник | Использование специальных средств для подключения к линии связи | Защита не предусмотрена | |
Доступ к информации из сети интернет | Злоумышленник | Доступ к информации по сети интернет вследствие наличия уязвимостей в протоколах передачи данных | Использование межсетевого экрана | |
Перехват побочных электромагнитных излучений и наводок | Злоумышленник | Использование специальных средств для перехвата ПЭМИН | Защита не предусмотрена | |
Наблюдение из соседних зданий | Злоумышленник | Наблюдение из соседних зданий при помощи специального оборудования | Мониторы ПЭВМ расположены лицевой стороной к стене, на окнах есть тканевые жалюзи | |
Съем информации по оптико-электронному каналу | Злоумышленник | Съем информации с вибрирующих поверхностей стекол при помощи специального оборудования | Защита не предусмотрена | |
Нарушение работоспособности технических средств | Злоумышленник | Действия по отключению электроснабжения | ПЭВМ подключены к источнику бесперебойного питания | |
Агентурные методы воздействия на сотрудников учреждения | Злоумышленник | Шантаж, угрозы, подкуп, вербовка сотрудников учреждения | Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных | |
Нежелательные электронные письма | Злоумышленник | Получение нежелательной корреспонденции по электронной почте, в т. ч. корреспонденции содержащей вредоносные программы | Использование спам-фильтра и антивирусного ПО | |
ВНУТРЕННИЕ, НЕПРЕДНАМЕРЕННЫЕ (СЛУЧАЙНЫЕ) | ||||
Непреднамеренное удаление или искажение информации | Сотрудники | Удаление и искажение информации вследствие невнимательности или халатного отношения | Инструктаж сотрудников | |
Утрата, неумышленное уничтожение носителей информации | Сотрудники | Утрата, уничтожение носителей в связи с халатностью сотрудников | Защита не предусмотрена | |
Непреднамеренное разглашение информации | Сотрудники | Разглашение информации в связи с халатностью сотрудников | Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных | |
Непреднамеренный запуск вредоносных программ | Сотрудники | Запуск программ, содержащих вредоносные модули | Наличие и регулярное обновление антивирусного ПО | |
Непреднамеренный вызов сбоев в работе технических средств | Сотрудники | Вызов сбоев в работе технических средств вследствие неправильных действий при работе с техническими средствами | Есть лицо, ответственное за работоспособность ПЭВМ | |
Оставление рабочего места | Сотрудники | Оставление рабочего места и открытой двери вследствие халатности сотрудника | Блокировка ПЭВМ при простое, для разблокирования необходимо ввести пароль | |
ВНУТРЕННИЕ, ПРЕДНАМЕРЕННЫЕ | ||||
Хищение носителей информации | Сотрудники | Хищение носителей информации сотрудниками | Ограниченный доступ сотрудников к информации, ответственность за нарушение норм, регулирующих обработку и защиту персональных данных | |
Изменение, удаление, блокирование информации | Сотрудники | Злоумышленные действия сотрудников в отношении информации | Ограниченный доступ сотрудников к информации, ответственность за нарушение норм, регулирующих обработку и защиту персональных данных | |
Несанкционированное копирование информации | Сотрудники | Копирование оригиналов документов, фотои видеосъемка, звукозапись | Ограниченный доступ сотрудников к информации, ответственность за нарушение норм, регулирующих обработку и защиту персональных данных | |
Несанкционированное отключение средств защиты | Сотрудники | Отключение средств защиты сотрудниками вследствие злого умысла | Есть лицо, ответственное за работоспособность ПЭВМ | |
Внедрение закладных устройств | Сотрудники | Внедрение закладных программных и аппаратных устройств | Защита не предусмотрена | |
Вывод из строя технических средств | Сотрудники | Нарушение работы технических средств вследствие злоумышленных действий сотрудников | Материальная ответственность сотрудников | |
Разглашение информации | Сотрудники | Предумышленное разглашение информации | Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных | |
ТЕХНОГЕННЫЕ ИСТОЧНИКИ УГРОЗ | ||||
Сбои электроснабжения | Злоумышленник, перебои на электростанции | Отключение электроснабжения, скачки напряжения | Все оборудование подключено через сетевые фильтры, обе ПЭВМ подключены к источнику бесперебойного питания | |
Отказы программного обеспечения | Недостатки ПО | Отказ в работе ПО вследствие ошибок | Есть лицо, ответственное за работоспособность ПЭВМ, используется лицензионное ПО, возможно обращение в техническую поддержку данного ПО | |
Отказы технических средств | Недостатки, изношенность технических средств | Отказ в работе технических средств вследствие сбоев | Есть лицо, ответственное за работоспособность ПЭВМ | |
Пожар | Проводка, неосторожное обращение с огнем | Возгорание вследствие короткого замыкания, неосторожного обращения с огнем | Наличие правил пожарной безопасности, ответственного за пожарную безопасность, использование сетевых фильтров, в коридоре стоит огнетушение | |
Затопление | Изношенность труб системы отопления | Нарушение целостности труб системы отопления | Защита не предусмотрена | |
СТИХИЙНЫЕ ИСТОЧНИКИ УГРОЗ | ||||
Землетрясение | Природные условия | Естественное землетрясение | Защита не предусмотрена | |
Наводнение | Природные условия | Естественное наводнение | Защита не предусмотрена | |
Удар молнии | Природные условия | Естественный удар молнии | Использование сетевых фильтров, заземления, на здании есть громоотвод | |
На основании данных изложенных в таблице, можно сделать вывод, что применяемых мер защиты недостаточно. Устранение недостатков, указанных в таблице, позволит усилить защиту информации в образовательном учреждении.
Однако, прежде чем приступать к усилению мер защиты необходимо разработать и утвердить политику безопасности учреждения, в соответствии с которой и будут проводиться мероприятия по обеспечению информационной безопасности.
ЗАКЛЮЧЕНИЕ
В ходе выполнения работы был проведен анализ состояния защищенности МБОУ ДОД ЦДОД «Аэрокосмическая школа» от угроз информационной безопасности.
В результате проведенного исследования была собрана информация об объекте информатизации, определена информация, подлежащая защите, выявлены и проанализированы угрозы информационной безопасности.
По результатам анализа выявленных угроз информационной безопасности был сделан вывод о недостаточности применяемых мер защиты для нейтрализации угроз информационной безопасности.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. ГОСТ Р ИСО/МЭК 17 799−2005 — Информационные технологии. Практические правила управления информационной безопасностью.
2. Галатенко В. А., Основы информационной безопасности [Курс лекций] - Интернет-Университет Информационных Технологий, www.intuit.ru, Москва, 2004
3. Вихорев С. В. Классификация Угроз Информационной Безопасности [Статья] - http://www.elvis.ru/files/class.pdf
4. Герасименко В. А., Малюк А. А. Основы защиты информации. [Книга] - Москва: МИФИ, 1997. 537 с.
Приложение 1
Приложение 2