Побудова комплексної системи захисту інформації

Размещено на http://www.allbest.ru/

Міністерство Освіти і Науки України

Державний Університет Телекомунікацій

Навчально Науковий Інститут Захисту Інформації

Курсова робота

з дисципліни «Комплексні системи захисту інформації»

Тема: «Побудова комплексної системи захисту інформації»

Виконав:

студент групи БСД-42

Побережний В.В.

Перевірив

Степаненко В.І.

Київ 2013



Завдання

Розробити комплексну систему захисту інформації для автоматизованої системи класу «2» обраного за варіантом підприємство (дозволяється самостійно обрати існуюче підприємство, попередньо узгодити з викладачем). Кожний етап побудови оформити згідно нормативних документів.

Згідно останньої цифри залікової книжки обрати об'єкт інформаційної діяльності.

Кількість поверхів обирається за сумою двох останніх цифр залікової книжки - якщо сума парне число, тоді 2 поверхи, якщо непарне - 1 (Наприклад, У = 4, то поверхів 2, якщо У = 5, то поверхів 1).

Обґрунтуйте вибір апаратних та програмних засобів захисту (засіб повинен мати експертний висновок Держспецзв'язку України).

Курсова робота оформлюється згідно вимог ГОСТу до проектно-технічної документації.

Всі документи розробляються згідно вимог нормативних документів Держспецзв'язку України та ДСТУ.

ЕТАПИ ПОБУДОВИ КСЗІ

1. Обгрунтування необхідності створення КСЗІ в АС

Згідно Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" від 31.05.2005 р. - Комплексна система захисту інформації - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації. Згідно статті 8 цього Закону, Умови обробки інформації в системі.

Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.

Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.

У 2006 році 29 березня Постановою Кабінету Міністрів України №373, були затверджені "Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах", в яких визначається, що - (пт. 16) для забезпечення захисту інформації в системі створюється комплексна система захисту інформації (далі - система захисту), яка призначається для захисту інформації від:

? витоку технічними каналами, до яких належать канали побічних електромагнітних випромінювань і наведень, акустично-електричні та інші канали, що утворюються під впливом фізичних процесів під час функціонування засобів обробки інформації, інших технічних засобів і комунікацій;

? несанкціонованих дій з інформацією, у тому числі з використанням комп'ютерних вірусів;

? спеціального впливу на засоби обробки інформації, який здійснюється шляхом формування фізичних полів і сигналів та може призвести до порушення її цілісності та несанкціонованого блокування.

Захист інформації від витоку технічними каналами забезпечується в системі у разі, коли в ній обробляється інформація, що становить державну таємницю, або коли відповідне рішення щодо необхідності такого захисту прийнято власником (розпорядником) інформації.

Захист інформації від несанкціонованих дій, у тому числі від комп'ютерних вірусів, забезпечується в усіх системах.

Захист інформації від спеціального впливу на засоби обробки інформації забезпечується в системі, якщо рішення про необхідність такого захисту прийнято власником (розпорядником) інформації.

Існує також нормативний документ, " Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі" НД ТЗІ 3.7-003-05, який визначає, (пт.5.3) процес створення КСЗІ полягає у здійсненні комплексу взаємоузгоджених заходів, спрямованих на розроблення і впровадження інформаційної технології, яка забезпечує обробку інформації в інформаційно-телекомунікаційній системі (ITC) згідно з вимогами, встановленими нормативно-правовими актами та нормативними документами (НД) у сфері захисту інформації.

До складу КСЗІ входять заходи та засоби, які реалізують способи, методи, механізми захисту інформації від:

? витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричні та інші канали;

? несанкціонованих дій та несанкціонованого доступу до інформації, що можуть здійснюватися шляхом підключення до апаратури та ліній зв'язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав'язування хибної інформації, застосування закладних пристроїв чи програм, використання комп'ютерних вірусів та ін;

? спеціального впливу на інформацію, який може здійснюватися шляхом формування полів і сигналів з метою порушення цілісності інформації або руйнування системи захисту.

Для кожної конкретної ITC склад, структура та вимоги до КСЗІ визначаються властивостями оброблюваної інформації, класом автоматизованої системи та умовами експлуатації ITC. (пт. 5.8) Створення комплексів технічного захисту інформації від витоку технічними каналами здійснюється, якщо в ITC обробляється інформація, що становить державну таємницю, або коли необхідність цього визначено власником інформації.

Створення КЗЗ здійснюється в усіх ITC, де обробляється інформація, що є власністю держави, належить до державної чи іншої таємниці або до окремих видів інформації, необхідність захисту якої визначено законодавством, а також в ITC, де така необхідність визначена власником інформації.

Рішення щодо необхідності вжиття заходів захисту від спеціальних впливів на інформацію приймається власником інформації в кожному випадку окремо.



2. Визначення потенційних загроз для інформації, яка циркулюватиме в АС

1. Позначення і скорочення

АС - автоматизована система;

КС - комп'ютерна система;

КЗЗ - комплекс засобів захисту;

НСД - несанкціонований доступ;

ОС - обчислювальна система;

ПЗ - програмне забезпечення;

Позначення послуг:

КД - довірча конфіденційність;

КА - адміністративна конфіденційність;

КО - повторне використання об'єктів;

КК - аналіз прихованих каналів;

ЦД - довірча цілісність;

ЦА - адміністративна цілісність;

ЦО - відкат;

ДР - використання ресурсів;

ДВ - стійкість до відмов;

ДЗ - гаряча заміна;

ДВ - відновлення після збоїв;

НР - реєстрація;

НИ - ідентифікація і автентифікація;

НК - достовірний канал;

НО - розподіл обов'язків;

НЦ - цілісність КЗЗ;

НТ - самотестування;

2. Послуги, що виконуються в АС класу 2

Мета введення класифікації АС і стандартних функціональних профілів захищеності - полегшення задачі співставлення вимог до КЗЗ обчислювальної системи АС з характеристиками АС.

Автоматизована система являє собою організаційно-технічну систему, що об'єднує ОС, фізичне середовище, персонал і оброблювану інформацію. Вимоги до функціонального складу КЗЗ залежать від характеристик оброблюваної інформації, самої ОС, фізичного середовища, персоналу і організаційної підсистеми. Вимоги до гарантій визначаються насамперед характером (важливістю) оброблюваної інформації і призначенням АС.

Автоматизована система даної організації призначена для керування інформацією з метою забезпечення, перш за все, захисту авторських прав, що полягає в цілісності і конфіденцій6ності інформації. Також важливе місце займає забезпечення доступності. Таким чином АС класу 2 видавництва відповідає стандартний функціональний профіль захищеності в КС з підвищеними вимогами до забезпечення конфіденційності, цілісності і доступності оброблюваної інформації:

КЦД.3 = { КД-2, КА-2, КО-1, КК-1,

ЦД-1, ЦА-3, ЦО-2,

ДР-2, ДС-1, ДЗ-1, ДВ-2,

НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 }

Даний профіль забезпечує певні послуги, які являють собою набір функцій, що дозволяють протистояти певній множині загроз. Таким послугами є:

КД-2. Базова довірча конфіденційність. Ця послуга дозволяє користувачу керувати потоками інформації від захищених об'єктів, що належать його домену, до інших користувачів.

Політика довірчої конфіденційності, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься. КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу користувача і захищеного об'єкта. Запити на зміну прав доступу до об'єкта повинні оброблятися КЗЗ на підставі атрибутів доступу користувача, що ініціює запит, і об'єкта. КЗЗ повинен надавати користувачу можливість для кожного захищеного об'єкта, що належить його домену, визначити конкретних користувачів і/або групи користувачів, які мають право одержувати інформацію від об'єкта. КЗЗ повинен надавати користувачу можливість для кожного процесу, що належить його домену, визначити конкретних користувачів і/або групи користувачів, які мають право ініціювати процес. Права доступу до кожного захищеного об'єкта повинні встановлюватись в момент його створення або ініціалізації. Як частина політики довірчої конфіденційності повинні бути представлені правила збереження атрибутів доступу об'єктів під час їх експорту та імпорту.

КА-2. Базова адміністративна конфіденційність. Ця послуга дозволяє адміністратору або спеціально авторизованому користувачу керувати потоками інформації від захищених об'єктів до користувачів.

Політика адміністративної конфіденційності, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься. КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу користувача і захищеного об'єкта. Запити на зміну прав доступу повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністраторів або від користувачів, яким надані відповідні повноваження. КЗЗ повинен надавати можливість адміністратору або користувачу, що має відповідні повноваження, для кожного захищеного об'єкта шляхом керування належністю користувачів, процесів і об'єктів до відповідних доменів визначити конкретних користувачів і/або групи користувачів, які мають право одержувати інформацію від об'єкта. КЗЗ повинен надавати можливість адміністратору або користувачу, що має відповідні повноваження, для кожного процесу через керування належністю користувачів і процесів до відповідних доменів визначити конкретних користувачів і/або групи користувачів, які мають право ініціювати процес. Права доступу до кожного захищеного об'єкта повинні встановлюватися в момент його створення або ініціалізації. Як частина політики адміністративної конфіденційності мають бути представлені правила збереження атрибутів доступу об'єктів під час їх експорту та імпорту.

КО-1. Повторне використання об'єктів. Ця послуга дозволяє забезпечити коректність повторного використання розділюваних об'єктів, гарантуючи, що в разі, якщо розділюваний об'єкт виділяється новому користувачу або процесу, то він не містить інформації, яка залишилась від попереднього користувача або процесу.

Політика повторного використання об'єктів, що реалізується КЗЗ, повинна відноситись до всіх об'єктів КС

Перш ніж користувач або процес зможе одержати в своє розпорядження звільнений іншим користувачем або процесом об'єкт, встановлені для попереднього користувача або процесу права доступу до даного об'єкта повинні бути скасовані

Перш ніж користувач або процес зможе одержати в своє розпорядження звільнений іншим користувачем або процесом об'єкт, вся інформація, що міститься в даному об'єкті, повинна стати недосяжною.

КК-1. Виявлення прихованих каналів. Ця послуга виконується з метою виявлення і усунення потоків інформації, які існують, але не контролюються іншими послугами.

Повинен бути виконаний аналіз прихованих каналів.

Всі приховані канали, які існують в апаратному і програмному забезпеченні, а також в програмах ПЗП, повинні бути документовані

Має бути документована максимальна пропускна здатність кожного знайденого прихованого каналу, одержана на підставі теоретичної оцінки або вимірів

Для прихованих каналів, які можуть використовуватися спільно, повинна бути документована сукупна пропускна здатність

ЦД-1. Мінімальна довірча цілісність. Ця послуга дозволяє користувачу керувати потоками інформації від інших користувачів до захищених об'єктів, що належать його домену.

Політика довірчої цілісності, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься. КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу користувача і захищеного об'єкта. Запити на зміну прав доступу до об'єкта повинні оброблятися КЗЗ на підставі атрибутів доступу користувача, що ініціює запит, і об'єкта. КЗЗ повинен надавати користувачу можливість для кожного захищеного об'єкта, що належить його домену, визначити конкретних користувачів і/або групи користувачів, які мають право модифікувати об'єкт. Права доступу до кожного захищеного об'єкта повинні встановлюватися в момент його створення або ініціалізації. Як частина політики довірчої цілісності мають бути представлені правила збереження атрибутів доступу об'єктів під час їх експорту і імпорту.

ЦА-3. Повна адміністративна цілісність. Ця послуга дозволяє адміністратору або спеціально авторизованому користувачу керувати потоками інформації від користувачів до захищених об'єктів.

Політика адміністративної цілісності, що реалізується КЗЗ, повинна відноситись до всіх об'єктів КС.

КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу процесу і захищеного об'єкта.

Запити на зміну прав доступу повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністраторів або від користувачів, яким надані відповідні повноваження.

КЗЗ повинен надавати можливість адміністратору або користувачу, який має відповідні повноваження, для кожного захищеного об'єкта шляхом керування належністю користувачів, процесів і об'єктів до відповідних доменів визначити конкретні процеси (і групи процесів), які мають, а також тих, які не мають права модифікувати об'єкт.

КЗЗ повинен надавати можливість адміністратору або користувачу, який має відповідні повноваження, для кожного процесу шляхом керування належністю користувачів і процесів до відповідних доменів визначити конкретних користувачів (і групи користувачів), які мають, а також тих, які не мають права ініціювати процес.

Права доступу до кожного захищеного об'єкта повинні встановлюватися в момент його створення або ініціалізації. Як частина політики адміністративної цілісності мають бути представлені правила збереження атрибутів доступу об'єктів під час їх експорту і імпорту.

ЦО-2. Повний відкат. Ця послуга забезпечує можливість відмінити операцію або послідовність операцій і повернути (відкотити) захищений об'єкт до попереднього стану.

Політика відкату, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься. Повинні існувати автоматизовані засоби, які дозволяють авторизованому користувачу або процесу відкотити або відмінити всі операції, виконані над захищеним об'єктом за певний проміжок часу.

ДР-2. Недопущення захоплення ресурсів. Ця послуга дозволяє користувачам керувати використанням послуг і ресурсів.

Політика використання ресурсів, що реалізується КЗЗ, повинна відноситися до всіх об'єктів КС.

Політика використання ресурсів повинна визначати обмеження, які можна накладати, на кількість даних об'єктів (обсяг ресурсів), що виділяються окремому користувачу.

Запити на зміну встановлених обмежень повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністраторів або від користувачів, яким надані відповідні повноваження.

Повинна існувати можливість встановлювати обмеження таким чином, щоб КЗЗ мав можливість запобігти діям, які можуть призвести до неможливості доступу інших користувачів до функцій КЗЗ або захищених об'єктів. КЗЗ повинен контролювати такі дії, здійснювані з боку окремого користувача.

ДС-1. Стійкість при обмежених відмовах. Стійкість до відмов гарантує доступність КС (можливість використання інформації, окремих функцій або КС в цілому) після відмови її компонента.

Розробник повинен провести аналіз відмов компонентів КС.

Політика стійкості до відмов, що реалізується КЗЗ, повинна визначати множину компонентів КС, до яких вона відноситься, і типи їх відмов, після яких КС в змозі продовжувати функціонування.

Повинні бути чітко вказані рівні відмов, при перевищенні яких відмови призводять до зниження характеристик обслуговування або недоступності послуги.

Відмова одного захищеного компонента не повинна призводити до недоступності всіх послуг, а має в гіршому випадку проявлятися в зниженні характеристик обслуговування.

КЗЗ повинен бути спроможний повідомити адміністратора про відмову будь-якого захищеного компонента.

ДЗ-1. Модернізація. Ця послуга дозволяє гарантувати доступність КС (можливість використання інформації, окремих функцій або КС в цілому) в процесі заміни окремих компонентів.

Політика гарячої заміни, що реалізується КЗЗ, повинна визначати політику проведення модернізації КС

Адміністратор або користувачі, яким надані відповідні повноваження, повинні мати можливість провести модернізацію (upgrade) КС. Модернізація КС не повинна призводити до необхідності ще раз проводити інсталяцію КС або до переривання виконання КЗЗ функцій захисту.

ДВ-2. Автоматизоване відновлення. Ця послуга забезпечує повернення КС у відомий захищений стан після відмови або переривання обслуговування.

Політика відновлення, що реалізується КЗЗ, повинна визначати множину типів відмов КС і переривань обслуговування, після яких можливе повернення у відомий захищений стан без порушення політики безпеки. Повинні бути чітко вказані рівні відмов, у разі перевищення яких необхідна повторна інсталяція КС.

Після відмови КС або переривання обслуговування КЗЗ має бути здатним визначити, чи можуть бути використані автоматизовані процедури для повернення КС до нормального функціонування безпечним чином. Якщо такі процедури можуть бути використані, то КЗЗ має бути здатним виконати їх і повернути КС до нормального функціонування.

Якщо автоматизовані процедури не можуть бути використані, то КЗЗ повинен перевести КС до стану, з якого повернути її до нормального функціонування може тільки адміністратор або користувачі, яким надані відповідні повноваження.

Повинні існувати ручні процедури, за допомогою яких можна безпечним чином повернути КС до нормального функціонування.

НР-3. Сигналізація про небезпеку. Реєстрація дозволяє контролювати небезпечні для КС дії.

Політика реєстрації, що реалізується КЗЗ, повинна визначати перелік подій, що реєструються.

КЗЗ повинен бути здатним здійснювати реєстрацію подій, що мають безпосереднє відношення до безпеки.

Журнал реєстрації повинен містити інформацію про дату, час, місце, тип і успішність чи неуспішність кожної зареєстрованої події. Журнал реєстрації повинен містити інформацію, достатню для встановлення користувача, процесу і/або об'єкта, що мали відношення до кожної зареєстрованої події.

КЗЗ повинен забезпечувати захист журналу реєстрації від несанкціонованого доступу, модифікації або руйнування.

Адміністратори і користувачі, яким надані відповідні повноваження, повинні мати в своєму розпорядженні засоби перегляду і аналізу журналу реєстрації.

КЗЗ має бути здатним контролювати одиничні або повторювані реєстраційні події, які можуть свідчити про прямі (істотні) порушення політики безпеки КС. КЗЗ має бути здатним негайно інформувати адміністратора про перевищення порогів безпеки і, якщо реєстраційні небезпечні події повторюються, здійснити неруйнівні дії щодо припинення повторення цих подій.

НИ-2. Одиночна ідентифікація і автентифікація. Ідентифікація і автентифікація дозволяють КЗЗ визначити і перевірити особистість користувача, що намагається одержати доступ до КС.

Політика ідентифікації і автентифікації, що реалізується КЗЗ, повинна визначати атрибути, якими характеризується користувач, і послуги, для використання яких необхідні ці атрибути. Кожний користувач повинен однозначно ідентифікуватися КЗЗ.

Перш ніж дозволити будь-якому користувачу виконувати будь-які інші, контрольовані КЗЗ дії, КЗЗ повинен автентифікувати цього користувача з використанням захищеного механізму.

КЗЗ повинен забезпечувати захист даних автентифікації від несанкціонованого доступу, модифікації або руйнування.

НК-1. Однонаправлений достовірний канал. Ця послуга дозволяє гарантувати користувачу можливість безпосередньої взаємодії з КЗЗ.

Політика достовірного каналу, що реалізується КЗЗ, повинна визначати механізми встановлення достовірного зв'язку між користувачем і КЗЗ. Достовірний канал повинен використовуватися для початкової ідентифікації і автентифікації. Зв'язок з використанням даного каналу повинен ініціюватися виключно користувачем.

НО-2. Розподіл обов'язків адміністраторів. Ця послуга дозволяє зменшити потенційні збитки від навмисних або помилкових дій користувача і обмежити авторитарність керування.

НЦ-3. КЗЗ з функціями диспетчера доступу. Ця послуга визначає міру здатності КЗЗ захищати себе і гарантувати свою спроможність керувати захищеними об'єктами.

Політика цілісності КЗЗ повинна визначати домен КЗЗ та інші домени, а також механізми захисту, що використовуються для реалізації розподілення доменів.

НТ-2. Самотестування при старті. Самотестування дозволяє КЗЗ перевірити і на підставі цього гарантувати правильність функціонування і цілісність певної множини функцій КС.

Політика самотестувания, що реалізується КЗЗ, повинна описувати властивості КС і реалізовані процедури, які можуть бути використані для оцінки правильності функціонування КЗЗ.

КЗЗ має бути здатним виконувати набір тестів з метою оцінки правильності функціонування своїх критичних функцій. Тести повинні виконуватися за запитом користувача, що має відповідні повноваження, при ініціалізації КЗЗ.



3. Модель загроз

Модель загроз для інформації з обмеженим доступом, яка планується до циркуляції в автоматизованій системі класу 2 на об'єкті інформаційної діяльності.

1. Позначення і скорочення

В цій Моделі загроз для інформації, яка планується до циркуляції в автоматизованій системі класу 2 на об'єкті інформаційної діяльності - приміщення № 1 Видавництва «Книгоман» використовуються такі позначення і скорочення:

АС - автоматизована система класу 1;

ДТЗ - допоміжні технічні засоби;

ІзОД - інформація з обмеженим доступом;

ІТС - інформаційно-телекомунікаційна система;

КЗ - контрольована зона;

КЗЗ - комплекс засобів захисту;

КСЗІ - комплексна система захисту інформації;

НД ТЗІ - нормативний документ системи технічного захисту інформації;

НСД - несанкціонований доступ;

ОІД - об'єкт інформаційної діяльності з встановленою АС;

ОТЗ - основні технічні засоби;

ПЕМВН - побічні електромагнітні випромінювання і наведення;

ПМА - програма і методика атестаційних випробувань;

ТЗІ - технічний захист інформації.

2. Нормативні посилання

Ця Модель загроз створена відповідно вимог наступних нормативних документів:

ДСТУ 3396.1-96 “Захист інформації. Технічний захист інформації Порядок проведення робіт”;

ДСТУ 3396.2-97 “Захист інформації. Технічний захист інформації. Терміни та визначення”;

НД ТЗІ 1.4-001-2000 „Типове положення про службу захисту інформації в автоматизованій системі”;

НД ТЗІ 3.7-003-05 „Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі”

НД ТЗІ 1.1-002-99 „Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу”.

3. Загальні положення

В АС передбачається обробка інформації, яка не становить державної таємниці.

Модель загроз для інформації - це абстрактний формалізований опис методів та засобів здійснення загроз для інформації в конкретних умовах функціонування АС.

Модель загроз складається з наступних основних розділів:

модель загроз для інформації, яка планується до циркуляції в автоматизованій системі класу 2;

модель порушника для інформації, яка планується до циркуляції в автоматизованій системі класу 2.



4. Загальна характеристика автоматизованої системи установи і умов її функціонування

загроза інформація автоматизований обчислювальний

4.1 Загальна структурна схема та склад обчислювальної системи автоматизованої системи

Централізована система зберігання і обробки даних.

Основними технічними засобами централізованої системи зберігання та обробки даних є:

сервери СКБД (основні та резервні);

сервери застосувань;

зовнішня система зберігання даних;

поштовий сервер.

Спеціалізоване програмне забезпечення.

Спеціалізоване програмне забезпечення, призначене для ведення обліку та експлуатації інформаційно-телекомунікаційної системи.

Ядро комутації та маршрутизації мережі.

Основними технічними засобами ядра комутації та маршрутизації мережі є:

комутатори центрального сегменту;

міжмережний екран;

маршрутизатор;

система контролю мережного доступу;

система запобігання мережним вторгненням.

Мережа централізованого управління та контролю стану безпеки ІТС.

Основними технічними засобами мережі централізованого управління та контролю стану безпеки ІТС є:

АРМ адміністраторів безпеки;

АРМ адміністраторів активного мережного обладнання;

АРМ адміністраторів СКБД;

сервери домену.

Локальна мережа користувачів центрального рівня.

Основними технічними засобами локальної мережі користувачів центрального рівня ІТС є:

АРМ користувачів;

АРМ адміністраторів.

Загальна схема роботи філії полягає у тому що комп'ютери об'єднані в єдину локальну мережу по схемі клієнт-сервер. Головним носієм і центром баз даних, творів клієнтів, обліку і так далі знаходяться в головному сервері баз даних, доступ до якого, в цілях безпеки, мають лише оператори. Для зв'язку використовуються мідні кабелі на основі кручених пар, які забезпечують необхідну для даної ЛОМ швидкість передачі інф (максимальна швидкість - 1.2 Гбіт/с). Комп'ютери , які використовують працівники закладу, мають стандартну технічну характеристику, необхідну для швидкої і якісної робот з базами даних. На відміну від комп'ютерів, сервери завжди знаходяться у включеному стані. На випадок збоїв з електропостачанням в серверній встановлені джерела безперебійного живлення (ДБЖ).

4.2 Технічні характеристики каналів зв'язку

Основна частина циркулюючої у нашій АС інформації передається через комп'ютерну мережу, що базується на мідних кабелях на основі кручених пар.

4.3 Характеристики інформації, що обробляється

Відповідно до функціонального призначення у ІТС передбачається передача, обробка та зберігання технологічної інформації, до якої відносяться:

інформаційні об'єкти, що містять виконуваний код компонент програмного забезпечення ІТС;

інформаційні об'єкти, що містять дані, які визначають порядок функціонування програмно-технічних засобів (конфігураційні настроювання);

інформаційні об'єкти, що містять звітні дані щодо функціонування програмно-технічного комплексу та дій користувачів (журнали, лог-файли);

інформаційні об'єкти, що містять атрибути доступу користувачів та адміністраторів та визначають їх права (авторизацію) в системі;

конфіденційної інформації, до якої відносяться інформаційні об'єкти, що містять персональну інформацію;

відкрита інформація.

Інформація, що обробляється в системі, підлягає захисту відповідно до статей 18 та 23 Закону України «Про інформацію».

Згідно Акту визначення вищого ступеню обмеження доступу інформації, яка циркулюватиме на об'єкті інформаційної діяльності - приміщення № 1 видавництва «Книгоман» від 20.02.2011р. плануються такі види інформаційної діяльності на ОІД:

інформація на паперових носіях інформації - «цілком конфіденційно»;

інформація автоматизованій системі класу «1» - «конфіденційно»;

мовна інформація - без обмеження доступу.

4.4 Характеристики фізичного середовища

Сюди входять: наявність приміщень відповідно до категорій, територіальне розміщення компонентів АС, їх фізичні параметри, вплив на них чинників навколишнього середовища, захищеність від засобів технічної розвідки і т.п.

Фізичне середовище видавництва складається з :

Приміщення з 4 кімнат (серверна, відділ ІТ, відділ виробництва, кабінет директора), туалету, відділених від холу кабінки відеоспостереження, кабінки для бухгалтерів, кабінки відділу маркетингу, холу;

30 розеток під пристрої;

7 розеток під стаціонарний телефон;

2 принтери;

2 сканери;

2 ксерокси;

7 телефонів;

21 ПК;

сервер з базами даних і сервер системи управління мережним обладнанням захисту;

6 вікон;

5 датчиків протипожежної сигналізації;

5 датчиків розбитого скла;

2 камери спостереження;

1 комп'ютер для відео спостереження , який не під'єднаний до локальної мережі;

1 копіювальна машина;

1клавіатурнапанель;

1вихід.

4.5 Характеристики персоналу та користувачів АС

Сюди входять: кількість користувачів і категорії користувачів, форми допуску тощо.

Щодо повноважень та прав доступу до інформації, що зберігається та циркулює, визначаються такі ролі:

Системний адміністратор. Має повноваження щодо конфігурування операційних систем та програмного забезпечення (далі - відповідно ОС та ПЗ), активного мережного обладнання та системи зберігання даних;

Адміністратор баз даних. Має повноваження на адміністрування баз даних ІТС;

Адміністратор безпеки. Має повноваження щодо конфігурування засобів захисту обладнання ІТС;

Оператори. Мають повноваження щодо перегляду конфіденційної інформації стосовно персональних даних, а також перегляду, створення та модифікації даних внутрішнього документообігу та необхідних для ведення бази даних довідників, які не містять персональних даних;

Обслуговуючий персонал. Має фізичний доступ до обладнання ІТС у супроводі уповноваженого персоналу.

Описи категорій користувачів та адміністраторів, які передбачається виділити в ІТС, та їх повноваження щодо доступу до ресурсів системи:

Оператори - користувачі центрального рівня. Права доступу цих користувачів повинні забезпечувати читання записів централізованої бази даних, які містять персональну інформацію. При цьому вони мають право здійснювати модифікацію необхідних для ведення бази даних довідників, що не містять персональних даних.

Системний адміністратор (СА) здійснює адміністрування поштового серверу, мережного обладнання та мережних засобів захисту, засобів що використовуються для управління зазначеним обладнанням. Системний адміністратор має адміністративні права в операційних системах зазначених технічних засобів та, відповідно, повний доступ до технологічної інформації, що на них зберігається та обробляється. СА здійснює віддалене адміністрування мережного обладнання рівня ОВР.

Адміністратор безпеки (АБ) здійснює адміністрування засобів захисту та загальний контроль за станом безпеки в ІТС, контролює відповідність настроювань програмних та технічних засобів. Для забезпечення можливості контролю АБ може мати обмежені облікові записи на всіх компонентах системи, що дозволяють йому виключно перегляд певної конфігураційної і звітної інформації на серверах та активному мережному обладнанні системи. Має адміністративні права в операційних системах зазначених технічних засобів та, повний доступ до технологічної інформації, що на них обробляється.

Правила розмежування доступу операторів та адміністраторів стосовно інформаційних об'єктів та технічних засобів системи наведено в табл. 1.

Таблиця 1

Найменування технічних засобів, системного і прикладного програмного забезпечення, засобів захисту та інформаційних ресурсів	Уповноважений персонал
	СА	АБ	О
Технічні засоби
Мережне обладнання	А	-	-
Засоби управління мережним обладнанням (сервери системи управління мережним обладнанням захисту, засоби управління, що встановлені на АРМ адміністрування активного мережного обладнання)	А	-	-
Сервери доменів	-	А	-
Системне і прикладне програмне забезпечення
ОС серверів системи управління мережним обладнанням захисту, засобів управління, що встановлені на АРМ адміністрування активного мережного обладнання	А	-	-
ОС серверів застосувань	-	-	А
ОС серверів домену	-	А	-
Засоби захисту
Програмні засоби захисту	-	А	-
Мережні засоби захисту	А	-	-
Інформаційні ресурси
Технологічна інформація мережного обладнання	Ч, М	Ч	-
Технологічна інформація поштового серверу, серверів системи управління мережним обладнанням захисту, засобів управління, що встановлені на АРМ адміністрування активного мережного обладнання	Ч, М	Ч	-
Технологічна інформація серверів застосувань	-	Ч	-
Технологічна інформація серверів домену	-	Ч, М	-
Пошта	Ч, М	Ч, М	Ч, М
Дані ЦБД	-	-	Ч, М



5. Описи технічних каналів витоку та загроз ІзОД

Під технічним каналом витоку інформації (ТКВІ) розуміють сукупність об'єкта розвідки, технічного засобу розвідки (TЗP), за допомогою якого добувають інформацію про цей об'єкт, і фізичного середовища, в якій розповсюджується інформаційний сигнал. По суті, під ТКВІ розуміють спосіб отримання за допомогою TЗP розвідувальної інформації про об'єкт.

У загальному випадку середовищем розповсюдження сигналів можуть бути газові (повітряні), рідинні (водні) і тверді середовища.

Технічні засоби розвідки служать для прийому та вимірювання параметрів сигналів.

Акустичний сигнал являє собою опір пружного середовища, появи у виникненні акустичних коливань різної форми і тривалості. Акустичними називаються механічні коливання частинок пружного середовища, що поширюються від джерела коливань в навколишній простір у вигляді хвиль різної довжини.

Первинними джерелами акустичних коливань є механічні коливальні системи, наприклад органи промови людини, а вторинними-перетворювачі різного типу, в тому числі електроакустичні. Останні являють собою пристрої, призначені для перетворення акустичних коливань в електричні і назад. До них відносяться п'єзоелемент, мікрофони, телефони, гучномовці та інші пристрої.

Електроакустичні технічні канали витоку інформації

Електроакустичні технічні канали витоку інформації виникають за рахунок електроакустичних перетворень акустичних сигналів в електричні і включають перехоплення акустичних коливань через ДТЗС. володіють "мікрофонним ефектом", а також шляхом "високочастотного нав'язування".

Зміна параметрів приводить або до появи на даних елементах електрорушійної сили (ЕРС). змінюється за законом впливає інформаційного акустичного поля, або до модуляції струмів, що протікають по цим елементам, інформаційним сигналом. Наприклад, акустичне поле, впливає на якір електромагніту викличного телефонного дзвінка, викликає його коливання. В результаті чого змінюється магнітний потік сердечника електромагніту. Зміна цього потоку викликає поява ЕРС самоіндукції в ка-тушці дзвінка, що змінюється за законом зміни акустичного поля. ДТЗС, крім зазначених елементів, можуть містити безпосередньо електроакустичні перетворювачі.

До таких ВЗСЗ відносяться деякі датчики пожежної сигналізації ретрансляційної мережі і т.д. Ефект електроакустичного перетинання акустичних коливань в електричні часто називають "мікрофонним ефектом". Причому з ДТЗС, що володіють "мікрофонним ефектом", найбільшу чутливість до акустичного поля мають абонентські гучномовець і деякі датчики пожежної сигналізації. Перехоплення акустичних коливань в даному каналі витоку інформації здійснюється шляхом безпосереднього підключення до сполучним лініям ВЗСЗ, що володіють "мікрофонним ефектом", спеціальних високочутливих низькочастотних підсилювачів.

Оптико-електронний технічний канал витоку інформації

Оптико-електронний (лазерний) канал витоку акустичної інформації здійснюється при опроміненні лазерним променем вібруючих в акустичному полі тонких поверхонь, що відбивають (стекол вікон, картин, дзеркал і т.д.). Відбите лазерне випромінювання (дифузне або дзеркальне) модулюється по амплітуді і фазі (за законом вібрації поверхні) та приймається приймачем оптичного (лазерного) випромінювання, при демодуляції якого виділяється мовна інформація. Причому лазер і приймач оптичного випромінювання можуть бути встановлені в одному або різних місцях (приміщеннях). Для перехоплення мовної інформації з даного каналу використовуються складні лазерні акустичні локаційних системи, іноді звані "лазерними мікрофонами". Працюють вони, як правило, в ближньому інфрачервоному діапазоні хвиль.

Параметричні технічні канали витоку інформації

У результаті впливу акустичного поля міняється тиск на всі елементи високочастотних генераторів ВЗСЗ. При цьому змінюється (незначно) взаємне розташування елементів схем, проводів в котушках індуктивності, дроселів і т. п., що може привести до змін параметрів високочастотного сигналу, наприклад, до модуляції його інформаційним сигналом. Тому цей канал витоку інформації називається параметричним. Це обумовлено тим, що незначна зміна взаємного розташування, наприклад-заходів, проводів в котушках індуктивності призводить до зміни їх індуктивності, а, отже, до зміни частоти випромінювання генератора, тобто до частотної модуляції сигналу.

Або вплив акустичного поля на конденсатори призводить до зміни відстані між пластинами і, отже, до зміни його ємності, що, у свою чергу, також призводить до частотної модуляції високочастотного сигналу генератора. Найбільш часто спостерігається паразитна модуляція інформаційним сигналом випромінювань гетеродина радіоприймальних і телевізійних пристроїв, що перебувають у виділених приміщеннях і мають конденсатори змінної ємності з повітряним діелектриком в коливальних контурах гетеродина.

Промодулювання інформаційним сигналом високочастотні коливання випромінюються в навколишній простір і можуть бути перехоплені і деактивовані засобами радіорозвідки. Параметричний канал витоку інформації може бути реалізований і шляхом "високочастотного опромінення" приміщення, де встановлені напівактивний заставні пристрої, що мають елементи. Параметри яких (наприклад, добротність і резонансна частота об'ємного резонатора) змінюються за законом зміни акустичного (мовного) сигналу.

Для перехоплення інформації з даного каналу крім заставного пристрою необхідні спеціальний передавач з спрямованої антеною і приймач.

Особливості функціонування АС

Основним припущенням в ході аналізу загроз, що існують для ІТС, є те, що співробітники, які мають повний адміністративний доступ до компонентів системи і фізичний доступ до комутаційного та серверного обладнання, не розглядаються як потенційні порушники. Визначені в цьому технічні заходи, спрямовані на захист від зловмисних дій співробітників з адміністративними правами, розглядаються як додаткові. Основними заходами захисту від таких загроз є: кадрова політика та взаємний контроль адміністраторів при виконанні важливих технологічних операцій.

Захист від форс-мажорних обставин (повені, землетруси, стихійні лиха тощо) в рамках створення ІТС та КСЗІ не розглядаються.

Особливості реалізованих або припустимих заходів організаційних, фізичних та інших заходів захисту

До особливостей реалізованих або припустимих заходів організаційних, фізичних та інших заходів захисту входять режимні заходи в приміщеннях і на території, охорона, сигналізація, протипожежна охорона і інші чинники, що впливають на безпеку оброблюваної інформації;

В нашій АС передбачено 5 датчиків пожежної сигналізації, 6 датчиків розбитого скла, 2 камери спостереження та 1 комп'ютер для відео спостереження , який не під'єднаний до локальної мережі.

Потенційні загрози інформації

Неформалізований опис загроз, що вважаються найбільш вірогідними для нашої АС, здійснено на підставі якісної оцінки імовірності реалізації загрози та умовних втрат внаслідок її реалізації за чотирирівневою шкалою (низький, середній, високий, дуже високий) та визначений ефективний рівень (сукупний рівень загрози).

Оскільки не можливо одержати достатньо об'єктивні дані про імовірність реалізації більшості з наведених загроз, то таку імовірність визначено експертним методом, а для окремих загроз, що є типовими для АС 2-го класу (згідно з НД ТЗІ 2.5-005-99), - емпіричним шляхом, на підставі досвіду експлуатації подібних систем.

Загрози конфіденційності інформації

Порушення конфіденційності персональної інформації

Розглядаються такі шляхи порушення конфіденційності персональної інформації:

К.1.1. Отримання несанкціонованого доступу сторонніх осіб до персональної інформації, що зберігається та обробляється на АРМ ОВР або АРМ ЛОМ ЦВ, внаслідок несанкціонованого фізичного доступу до обладнання.

- Імовірність реалізації - середня.

- Втрати внаслідок реалізації - високі.

- Ефективний рівень - високий.

К.1.2. Отримання несанкціонованого доступу сторонніх осіб до персональної інформації під час її передачі каналами зв'язку та обробки на транзитних комутаційних вузлах мереж операторів зв'язку внаслідок навмисного підключення до каналів зв'язку чи обладнання, помилок при настроюванні комутаційного обладнання або апаратних збоїв.

- Імовірність реалізації - низька.

- Втрати внаслідок реалізації - високі.

- Ефективний рівень - середній.

К.1.3. Отримання несанкціонованого доступу сторонніх осіб до персональної інформації, що обробляється в межах ЦВ або РВД, внаслідок навмисного підключення до каналів зв'язку чи обладнання з наступним використанням для НСД відомих вразливостей програмно-технічних засобів ІТС.

- Імовірність реалізації - низька.

- Втрати внаслідок реалізації - високі.

- Ефективний рівень - середній.

К.1.4. Отримання несанкціонованого доступу сторонніх осіб до персональної інформації, що обробляється в межах ЦВ або РВД, внаслідок навмисного підключення до каналів зв'язку чи обладнання з наступним використанням для НСД перехоплених атрибутів доступу авторизованих користувачів.

- Імовірність реалізації - низька.

- Втрати внаслідок реалізації - високі.

- Ефективний рівень - середній.

К.1.5. Отримання несанкціонованого доступу сторонніх осіб до персональної інформації, що зберігається та обробляється в ІТС, внаслідок фізичного доступу до носіїв інформації (змінних носіїв, носіїв, що вийшли з ладу, носіїв, що підлягають утилізації).

- Імовірність реалізації - середня.

- Втрати внаслідок реалізації - високі.

- Ефективний рівень - високий.

Порушення конфіденційності технологічної інформації

К.2.1 Порушення конфіденційності технологічної інформації (атрибутів доступу адміністраторів або інших користувачів системи) сторонніми особами внаслідок необережного поводження авторизованих користувачів з атрибутами доступу (розглядається як частина реалізації атак, спрямованих на порушення конфіденційності персональної інформації К.1.1, К.1.4).

- Імовірність реалізації - середня.

- Втрати внаслідок реалізації - середні.

- Ефективний рівень - середній.

К.2.2. Порушення конфіденційності технологічної інформації (атрибутів доступу адміністраторів або інших користувачів системи) з боку авторизованих користувачів системи внаслідок необережного поводження авторизованих користувачів з атрибутами доступу. Як мета такого порушення розглядається ескалація прав доступу до ресурсів системи та виконання несанкціонованих дій від імені іншого користувача системи (розглядається як частина атак, спрямованих на порушення цілісності технологічної та персональної інформації Ц.1.3, Ц.2.1, Ц.2.2).

- Імовірність реалізації - висока.

- Втрати внаслідок реалізації - середні.

- Ефективний рівень - високий.

К.2.3. Порушення конфіденційності технологічної інформації (атрибутів доступу адміністраторів або інших користувачів системи) з боку авторизованих користувачів системи із застосуванням відомих вразливостей програмно-технічних засобів ІТС (розглядається як частина атак Ц.1.3, Ц.2.1, Ц.2.2, спрямованих на порушення цілісності технологічної та персональної інформації).

- Імовірність реалізації - висока.

- Втрати внаслідок реалізації - середні.

- Ефективний рівень - високий.

К.2.4. Отримання несанкціонованого доступу сторонніх осіб до технологічної інформації (атрибути доступу, конфігураційні настроювання), що зберігається та обробляється в ІТС внаслідок фізичного доступу до носіїв інформації (змінних носіїв, носіїв, що вийшли з ладу, носіїв, що підлягають утилізації).

- Імовірність реалізації - середня.

- Втрати внаслідок реалізації - низькі.

- Ефективний рівень - середній.

Загрози цілісності інформації

Загрози цілісності персональної інформації

Ц.1.1. Порушення цілісності персональної інформації, що зберігається в централізованій базі даних, внаслідок апаратного або програмного збою.

- Імовірність реалізації - середня.

- Втрати внаслідок реалізації - дуже високі.

- Ефективний рівень - високий.

Ц.1.2. Порушення цілісності персональної інформації, що зберігається в централізованій базі даних, сторонніми особами внаслідок отримання фізичного доступу до обладнання (навмисне чи внаслідок необережного поводження з обладнанням або системами, що забезпечують його функціонування).

- Імовірність реалізації - низька.

- Втрати внаслідок реалізації - високі.

- Ефективний рівень - середній.

Ц.1.3. Порушення цілісності персональної інформації, що зберігається в централізованій базі даних, внаслідок навмисних дій авторизованого користувача будь-якого рівня в межах його повноважень.

- Імовірність реалізації - середня.

- Втрати внаслідок реалізації - дуже високий.

- Ефективний рівень - високий.

Ц.1.4. Порушення цілісності інформації, що зберігається в базі даних, внаслідок ненавмисних дій авторизованого користувача будь-якого рівня.

- Імовірність реалізації - середня.

- Втрати внаслідок реалізації - середні.

- Ефективний рівень - середній.

Ц.1.5. Порушення цілісності персональної інформації, що зберігається в централізованій базі даних, внаслідок ураження комп'ютерним вірусом.

- Імовірність реалізації - низька.

- Втрати внаслідок реалізації - середні.

- Ефективний рівень - середній.

Ц.1.6. Порушення цілісності персональної інформації при передачі її по каналах зв'язку внаслідок навмисних дій сторонніх осіб (спроби підміни та нав'язування хибної інформації) або інших причин.

- Імовірність реалізації - низька.

- Втрати внаслідок реалізації - високі.

- Ефективний рівень - середній.

Загрози цілісності технологічної інформації

Ц.2.1. Порушення цілісності технологічної інформації (журнали реєстрації подій) сторонніми особами або авторизованими користувачами із застосуванням відомих вразливостей програмно-технічних засобів ІТС або перехоплених атрибутів доступу уповноваженого персоналу з адміністративними правами. Як мета реалізації даної загрози розглядається приховування несанкціонованих дій в системі в рамках реалізації інших загроз, спрямованих на порушення цілісності або конфіденційності персональної інформації.

- Імовірність реалізації - низька.

- Втрати внаслідок реалізації - високі.

- Ефективний рівень - середній.

Ц.2.2. Порушення цілісності технологічної інформації (конфігураційні файли та файли програмного забезпечення, що виконуються) сторонніми особами або авторизованими користувачами із застосуванням відомих вразливостей програмно-технічних засобів ІТС або перехоплених атрибутів доступу уповноваженого персоналу з адміністративними правами. Як мета реалізації даної загрози розглядається створення умов для подальшого несанкціонованого доступу до інших компонентів ІТС в рамках реалізації загроз К.1.1 - К.1.4, Ц.3.1 для сторонніх осіб або Ц.1.3, для авторизованих користувачів.

- Імовірність реалізації - низька.

- Втрати внаслідок реалізації - середні.

- Ефективний рівень - середній.

Ц.2.3. Порушення цілісності технологічної інформації (конфігураційні файли та файли програмного забезпечення, що виконуються) внаслідок ураження системи комп'ютерним вірусом.

- Імовірність реалізації - низька.

- Втрати внаслідок реалізації - середні.

- Ефективний рівень - середній.

Загрози доступності інформації

Загрози доступності персональної інформації

Д.1.1. Втрата доступності персональної інформації, що зберігається в ЦБД, внаслідок виходу з ладу комутаційного, серверного обладнання або підсистем забезпечення (найбільш імовірним вважається вихід із ладу системи електроживлення).

- Імовірність реалізації - висока.

- Втрати внаслідок реалізації - низькі.

- Ефективний рівень - середній.

Д.1.2. Втрата доступності персональної інформації внаслідок ураження системи комп'ютерним вірусом (перевантаження каналів зв'язку віддалених користувачів інтенсивним трафіком, що генерується вірусами типу «хробак» при розповсюдженні, повному використанні дискового простору або процесорного часу на уражених деякими типами вірусів серверах, що призводить до неможливості обробки запитів клієнтів та виникненні відмов у обслуговуванні).

- Імовірність реалізації - середня.

- Втрати внаслідок реалізації - низькі.

- Ефективний рівень - середній.

У зазначеному переліку загроз розглядаються тільки загрози із середнім та високим ефективним рівнем (загрози з низьким ефективним рівнем не беруться до уваги при розробці системи). Захист від загроз з ефективним рівнем, визначеним як «високий», повинен забезпечуватися можливостями не менш ніж двох різних програмних або програмно-технічних засобів чи сукупністю організаційних та технічних заходів.

У рамках захисту від зазначених загроз КЗЗ також повинен забезпечити виконання певних вимог із забезпеченням спостережності та контрольованості технологічних процесів в ІТС.

Щодо дій користувачів стосовно персональної інформації повинні реєструватися такі події:

Н.1.1. КЗЗ повинен дозволяти однозначно ідентифікувати користувача, що сформував запит на будь-яку транзакцію, пов'язану зі зміною персональної інформації в БД (створення, модифікація, знищення) та відстежити історію таких транзакцій.

Н.2.2. Виявлення дій користувачів, що виходять за межі їх посадових обов'язків та можуть бути розцінені як спроби несанкціонованого доступу до інформації (систематичні спроби виконання операцій над персональною інформацією, що не дозволені даному користувачу, тощо).

Щодо дій користувачів та адміністраторів стосовно технологічної інформації повинні реєструватися такі події:

Н.2.1. Отримання користувачем категорій 1-2 (рівнів РР, ОВР) доступу до системи (вхід/вихід).

Н.2.2. Невдалі спроби отримання доступу до будь-якого компонента системи внаслідок непроходження користувачем або адміністратором автентифікації.

Н.2.3. Зміни конфігураційних настроювань компонентів системи (серверів та мережного обладнання).

Н.2.4. Перевищення встановлених адміністратором порогів використання системних ресурсів обладнання (процесорного часу, дискового простору).

Н.2.5. Виявлення несанкціонованих дій користувачів системи, що можуть бути розцінені як спроба реалізації відомих вразливостей програмних засобів системи (та блокування їх в реальному часі) шляхом пошуку відомих сигнатур атак у мережному трафіку.

Н.2.6. Виявлення дій користувачів, що виходять за межі їх посадових обов'язків та можуть бути розцінені як спроби несанкціонованого доступу до інформації (спроби сканування портів мережного обладнання чи серверів, спроби отримати адміністративний доступ до обладнання з використанням протоколів віддаленого керування тощо).