Математическое обоснование степени уязвимости объекта информационной деятельности на примере предприятия ООО "FitMax"

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Содержание

Введение

Раздел 1. Характеристика объекта информационной деятельности и основных угроз информации

1.1 Общая характеристика предприятия

1.1.1 Ситуационный план предприятия

1.2 Сведения, составляющие коммерческую тайну предприятия

1.3 Характеристика ОИД

1.4 Методы и средства защиты информации, существующие на предприятии

1.4.1 Средства защиты информации

1.4.2 Методы защиты информации на предприятии

1.4.3 Описание уровней охраны коммерческой тайны предприятия "FitMax"

Раздел 2. Анализ степени уязвимости объекта информационной деятельности

2.1 Модель нарушителей

2.2 Возможные каналы утечки информации рассматриваемого объекта информационной деятельности

2.3 Характеристика наиболее опасных каналов утечки информации

2.3.1 Акустический канал

2.3.2 Виброакустический канал

2.3.3 Человеческий фактор

2.4 Рубежи защиты информации

2.5 Оценка защищенности объекта от технических каналов утечки информации

2.6 Расчеты степени защищенности объекта

2.7 Расчет материального ущерба

Раздел 3. Выработка рекомендаций по усовершенствованию степени защиты

3.1 Предложения по совершенствованию системы

3.2 Оценка эффективности предложенного

Вывод

Список использованных источников

Приложения

Введение

уязвимость информация защита нарушитель

Актуальность темы. Информация, как совокупность знаний о фактических данных и зависимостях между ними, стала стратегическим ресурсом, она является обязательным сырьем для выработки любого решения, без чего самые лучшие планы останутся простым самообманом и будут обречены на неудачи. Техническими средствами освоения этого ресурса выступают вычислительные машины с их разнообразным оборудованием и сети связи. Кроме того при переходе к рыночной экономике информация также становится товаром и должна поэтому подчиняться специфическим законам товарно-рыночных отношений. В этих условиях проблема защиты информации, другими словами коммерческой тайны является весьма актуальной и для организаций любой формы собственности.

Специалисты относят к понятию коммерческой тайны любую конфиденциальную управленческую, научно-техническую, торговую и другую информацию, представляющую ценность для предприятия в достижении преимущества над конкурентами и извлечения прибыли, утечка этой информации может нанести ущерб ее владельцам в виде прямых убытков или упущенной выгоды. Высокая уязвимость информационных технологий к различным злоумышленным действиям породило острую необходимость в средствах противодействия этому, что привело к возникновению и развитию области защиты информации как неотъемлемой части информационной индустрии.

К целям математического моделирования в области защиты информации с ограниченным доступом на объектах информационной деятельности по каналам утечки информации относится:

- оценка характеристик показателей качества эффективности системы;

- оптимизация характеристик системы;

- оценка чувствительности характеристик системы и суммирование тех или иных параметров или факторов;

- прогноз поведения системы в тех или иных условиях.

Специалисты относят к понятию коммерческой тайны любую конфиденциальную управленческую, научно-техническую, торговую и другую информацию, представляющую ценность для предприятия в достижении преимущества над конкурентами и извлечения прибыли, утечка этой информации может нанести ущерб ее владельцам в виде прямых убытков или упущенной выгоды.

Цель и задачи работы. Целью данной работы является математическое обоснование степени уязвимости объекта информационной деятельности на примере ООО « FitMax».

Для достижения поставленной цели необходимо решить следующие задачи:

- в разделе 1 охарактеризовать деятельность предприятия с точки зрения уязвимости, циркулирующей на ней информации и оценить ОИД с точки зрения защищенности информации;

- в разделе 2 рассчитать степень уязвимости по наиболее вероятным каналам утечки информации и оценить возможный ущерб, рассматривая наиболее вероятные каналы утечки информации;

- в разделе 3 выбрать средства защиты информации, для КСЗИ данного объекта и оценить их эффективность.

Структура работы. Данный курсовой проект состоит из трех разделов, введения, заключения, списка использованных источников и приложений.

В первом разделе рассматривается характеристика деятельности предприятия, сведения о коммерческой тайне, описания объектов информационной деятельности предприятия в целом и детальное описание каждого объекта. Так же, проводится анализ состояния защиты информации на ОИД.

Второй раздел содержит описание наиболее вероятных каналов утечки информации, математическое обоснование степени защищенности данного предприятия. В нем представлены расчеты угроз, проведенные в среде MathCAD.

В третьем разделе предлагаются средства для усовершенствования системы защиты информации.

Раздел 1. Характеристика объекта информационной деятельности и основных угроз информации

1.1 Общая характеристика предприятия

Предприятие:

- Наименование - ООО «FitMax»;

- местонахождение - Украина, Ялта, ул. Янтарная 8;

- предмет деятельности - производство всех видов спортивного питания, научно-исследовательская деятельность в данной области.

Предоставляемые услуги:

- производство и продажа спортивного питания. Компания «FitMax» является официальным производителем спортивного питания и спортивной экипировки в Украине. Компания производит все виды спортивного питания, включая собственные разработки, занимается научно-исследовательской деятельностью в области биохимии и пищевой промышленности. Продукция FitMax соответствует европейским нормам ISO17025. Есть разрешение на реализацию продукции в Украине.

Продвижение услуг: участие в специальных выставках, реклама в интернете, реклама в печатных СМИ, издание рекламного буклета, сотрудничество со спортивными федерациями и ведущими спортсменами.

Потребители услуг: физические и юридические лица.

Конкуренция: в настоящее время в городе нет предприятий, занимающихся данным видом деятельности. В Украине существует 2 предприятия, которые могут конкурировать с ООО «FitMax», но качество предоставляемых ими услуг значительно ниже.

Организация труда: численность персонала 200 человек. Организационная структура предприятия представляет собой линейно-функциональную модель, содержащую в себе следующие составляющие административного деления: руководство (10 человек); производство (70 человек); исследования и разработка (15 человек); маркетинг и реализация (10 человек); финансы и учёт (3 человека); охрана (40 человека); персонал, обслуживающий производство (52 человек).

Рис. 1.1. Структура предприятия.

Таким образом, ООО «FitMax» - это коммерческое частное предприятия, занимающиеся разработкой, производством и продажей спортивного питания. Предприятие располагает собственной коммерческой тайной.

1.1.1Ситуационный план предприятия

Общая площадь, занимаемая предприятием составляет 7000 м², из которых здания и сооружения занимают 3700 . Въездов/выездов на территорию два, на улицу Янтарную, проходящую с запада и юго-востока. Периметр территории ограждён железобетонным забором. Рельеф - равнина. Территория предприятия асфальтирована, имеет зелёные зоны.

Объекты вокруг территории предприятия:

- с севера: здания и сооружения завода «Магарач», расстояние 300 метров.

- с юга: дорога, шириной 5м, на расстоянии 150 метров.

- с запада: дорога, шириной 5 метров, прилегающая почти вплотную к оградительному забору предприятия.

- с востока: незанятая территория.

Ситуационный план предприятия приведён на рисунке 1.1.

На территории предприятия размещены следующие здания и сооружения:

- производственное здание;

- административный корпус;

- контрольно-пропускные пункты (в количестве трёх штук);

- караульное помещение;

- резервный генератор.

Рис. 1.2. Ситуационный план предприятия.

Склад сырья и склад готовой продукции занимают первый и второй этажи производственного здания (перекрытия отсутствуют). Высота 15 метров, объём загрузки склада 5000 единиц продукции, регулируемый температурный режим, ворота - распашные, въезд для евро-фур.

Административное здание. Двухэтажное здание, выполненное из железобетонных плит, перекрытия - монолитные железобетонные плиты. Размер здания 60х50 метров. В здание находятся кабинеты руководства, руководителей отделов и подразделений. Имеет 1 вход. Окна 20 шт. - металлопластиковые. Наружные двери - металлические утепленные. Внутренние двери - ламинированные. Контрольно-пропускная система в здании отсутствует.

Караульное помещение. Одноэтажное здание, пристроенное к юго-восточной стене производственного корпуса. Размер 15х8 метров. Здание имеет 1 вход. Окна 2 шт. - металлопластиковые. Наружные двери - металлические утепленные, усиленные. В здании располагается караульная служба, ведётся мониторинг охранный и пожарных систем, установленных на предприятии. Вход только для сотрудников охраны.

Контрольно-пропускные пункты. Одноэтажные здания, выполненные из монолитного железобетона (каркас) и кирпича (стены). Размер 5х5 метров. Здание имеет 1 вход. Окна 2 шт. - металлопластиковые. Наружные двери - металлические утепленные. В них постоянно находится один или два сотрудника охраны, которые контролируют и регистрируют вход/выход сотрудников и лиц на территорию предприятия, а так же въезд/выезд автотранспорта.

Парковка для сотрудников. Асфальтированная стоянка, площадью 500 кв. метров, для свободного размещения сотрудниками их транспортных средств.

Зона выгрузки сырья и зона погрузки готовой продукции - асфальтированное пространство, площадью 100 кв. метров, расположенные, соответственно, напротив складов.

Зона для стоянки грузового транспорта. Место в северо-западном углу территории предприятия, предназначенное для стоянки транспортных средств для перевозки сырья и готовой продукции.

Забор по периметру предприятия сделан из железобетонных монолитных плит. Высота забора 3 метра.

Таким образом, ООО «FitMax» занимает достаточно большую площадь, и содержит достаточно большое количество объектов на своей территории, что требует организации надлежащей системы охраны предприятия и службы охраны.

1.2 Сведения, составляющие коммерческую тайну предприятия

Коммерческой тайной является: информация, которая является секретной в том понимании, что она в целом либо в определенной форме и совокупности ее составных неизвестна и не является легкодоступной для лиц, которые обычно имеют дело с видом информации, к которому она принадлежит, в связи с этим имеет коммерческую ценность и была предметом адекватных существующим обстоятельствам мер по сохранению ее секретности, принятых лицом, законно контролирующим эту информацию.

Сведенья о финансовой деятельности (место циркуляции - бухгалтерский и экономический отделы, кабинеты руководящих лиц):

- прибыль, кредиты, товарооборот;

- финансовые отчёты и прогнозы;

- фонд заработной платы;

- банковские счета;

- генеральная линия и тактика в валютных и кредитных вопросах;

- сведения о вопросах кредитных и валютных отношений с иностранными государствами, фирмами;

Информация о рынке (место циркуляции - отдел маркетинга и реализации, кабинеты руководящих лиц):

- цены, скидки, условия договоров;

- объем, история, тенденция производства и прогноз для конкретного продукта;

- политика сбыта;

- программа рекламы;

- сведения о подготовке к торгам или аукционам и их результатам;

- сведения, содержащие выводы и рекомендации специалистов стратегии и тактике деятельности организаций;

- сведенья о времени выхода на рынок при закупках (запродаж) товаров и выборе фирм для ведения коммерческих переговоров.

Сведенья о производстве и продукции (место циркуляции - научно-исследовательская лаборатория, производственный отдел):

- организация производства;

- сведенья о характеристиках разрабатываемой продукции;

- сведенья о планируемых сроках создания продукции;

- производственные мощности;

- состояние основных и оборотных свойств.

Сведенья о научных разработках (место циркуляции - научно-исследовательская лаборатория):

- новые алгоритмы;

- сведения о целях и задачах, программах перспективных исследований;

- оригинальные программы;

- технический норматив;

- технический образец;

- новые технологические методы, новые технические, технологические и физические принципы, планируемые к использованию в продукции предприятия.

Сведенья о принципах управления предприятием (место циркуляции - кабинеты руководящих лиц):

- сведенья о применяемых и перспективных методах управления производством;

- сведенья о фактах ведения переговоров, предметах и целях совещаний и заседаний органов управления;

- условия продажи и слияния фирм;

- оперативные данные о ходе выполнения экспортно-импортного планов по внешнеэкономической организации;

- сведения о проектах годовых и перспективных экспортно-импортных планов по внешнеэкономической организации, инвестиционные программы, технико-экономические обоснования и планы инвестиций;

- сведения о структуре, составе, материально-техническом оснащении службы безопасности предприятия;

- сведения о сотрудниках СБ, в том числе ФИО, домашний адрес, телефоны, личная информация.

Полный перечень информации, составляющей коммерческую тайну предприятия, приведён в Приложении А.

Таким образом, утечка информации составляющей коммерческую тайну предприятия содержит сведения о: рынке, производстве и продукции, принципах управления, научных разработках.

1.3 Характеристика ОИД

Предприятия занимается разработкой собственных технологий по производству продукции. Все разработки, а так же способы производства, рецептуры, составляют коммерческую тайну предприятия и подлежат охране. Следовательно, помещения, в которых происходят разработки, производство являются особо важными, должны быть защищены надлежащим образом.

Для данного предприятия, этими помещения являются:

- производственные цеха, расположенные на первом этаже производственного здания;

- научно-исследовательская лаборатория, которая расположена на втором этаже производственного здания.

- кабинеты руководящих лиц, в которых циркулирует информация, составляющая коммерческую тайну предприятия.

Из перечисленных зон предприятия особый интерес для злоумышленника, а, следовательно, и особую важность для предприятия, составляет кабинет начальника научно исследовательского отдела. Интерес злоумышленников именно к этому ОИД данного предприятия можно обосновать тем, что именно в этом месте хранятся уже готовые, задокументированные результаты всех производимых исследований на предприятии, установленные формы рецептур, и прочая информация, касающаяся способов производства продукции, и составляющая коммерческую тайну первостепенной важности для предприятия.

Генеральный план кабинета представлен на рисунке 1.3.

Рис. 1.3. Генеральный план объекта ИД.

Кабинет находится на втором этаже административного здания. Размеры помещения 600х400х250. Перекрытия выполнены из железобетонных плит, пол утеплён ДВП, ламинатом. Стены выполнены из железобетонных плит толщиной 17 см, заштукатурены, и выкрашены водоэмульсионной краской. Помещение имеет 1 дверь, дверь бронированная. Окна в помещении расположены на южной и западной стенах, металлопластиковые из двух профилей и двойного прозрачного пластика.

Южная и западная стены являются наружными. Восточная стена граничит с соседним помещением приёмной. Северная стена граничит с коридором. На первом этаже находится отдел кадров предприятия. Над потомком находиться закрытое чердачное пространство без возможности доступа на него.

Рассматриваемый ОИД оборудован следующими системами: выделенная линия интернета, с заведённой витой парой в помещение, электропитанием и отоплением.

Интернет подведён к рабочему месту, к компьютеру (поз. 2 на генеральном плане).

Электропитание подведено к двум лампам дневного света на потолке (поз. 6.1 и 6.2), и к двум розеткам в восточной стене (7.1 и 7.2), одной в южной (7.3) и одной в западной (7.4).

Центральное отопление здания подводится по стояку к радиатору (поз. 8) под окном на южной стене.

Системы отопления, интернета электроснабжения выходят за пределы ОИД. Электропитание является централизованным. Системы отопления, водоснабжения и канализации подключены к городским сетям в подвальных помещениях административного здания.

В помещение есть ЭВМ (ноутбук), расположенная на рабочем месте. Есть доступ к интернету. Данная ЭВМ является основным техническим средством обработки информации данного ОИД.

Таблица 1.1. Перечень элементов интерьера

№	Наименование	Позиция на плане	Количество
1	Шкаф	5	1
2	Стул	4.1, 4.2, 4.3, 4.4, 4.5	5
3	Стол	3.1,3.2	2
4	Сейф	1	1

В помещении находится сейф, расположен в углу юной и восточной стены (поз. 1 на плане). В сейфе хранится информация, составляющая коммерческую тайну предприятия. Информация хранится на различных материальных носителях.

ОИД является местом проведения систематических совещаний, посвященным новым разработкам, результаты научных исследований и т.д., которые составляют коммерческую тайну предприятия.

На ЭВМ так же обрабатывается информация, составляющая коммерческую тайну предприятия.

Таким образом, для злоумышленника будет представлять интерес речевая информация, информация, хранящаяся на ЭВМ и на материальных носителях в сейфе.

1.4 Методы и средства защиты информации, существующие на предприятии

Перемещение во внешней зоне не предоставит особых трудностей злоумышленнику, так как передвижение в этой зоне разрешено. Незаметное проникновение на территорию предприятия практически невозможно, территория контролируется службой безопасности и техническими средствами охраны. Первый рубеж - пассивное техническое средство защиты, представлено железобетонным забором высотой 3 метра, расположенным по всему периметру охраняемой территории. Поверх забора растянута колючая проволока «Егоза стандарт». Войти или проехать на территорию предприятия можно только через один из 2х КПП, при пересечении которого осуществляется идентификация лица и досмотр транспортного средства. Расположение контрольно-пропускных пунктов и забора можно посмотреть на ситуационном плане предприятия (рис. 1.2).

1.4.1 Средства защиты информации

Здесь представлены средства защиты предприятия, расположенные на территории предприятия, и в зоне ОИД. Цель установки данных технических средств - препятствовать хищению коммерческой тайны предприятия из ОИД.

Егоза Аллигатор 1250/7 (производитель - ЧП "Метизы-94, сайт - http://www.metal-shop.com.ua). Современная колючая проволока Егоза является надежным и эффективным средством защиты периметра любых объектов.

Рис. 1.4. Егоза Аллигатор 1250/7.

Егоза значительно прочнее и эффективнее, чем обычная колючая проволока, и имеет ресурс эксплуатации порядка 25 лет. "Егоза" и "Егоза-М" изготавливаются из оцинкованной стальной 0,55 мм ленты, имеющей обоюдоострые колюще-режущие лезвия и армируются высокоуглеродистым легированным сердечником диаметром 2,5-4,0 мм. Сердечник с закрепленной на нем лентой сворачивается в объемные спирали диаметром 450, 600, 750, 950, или 1250 мм (базовые размеры), при этом соседние витки скрепляются между собой в 5, или 7 точках окружности. Колюще-режущая армированная лента "Егоза-М" применяется, кроме того, при изготовлении плоских спиральных заграждений, или нити.

«Циклон» (производитель - ЗАО «Охранная техника», сайт www.forteza.ru). Извещатель радиоволновый двухпозиционный предназначен для обнаружения движения нарушителя в охраняемой зоне. Применение в извещателе современных микроконтроллеров увеличивает его функциональность, а самое главное - надежность работы. Зона обнаружения имеет вид эллипсоида с размерами: длина - 300м, ширина - 5м, высота - 2м.

Рис. 1.5. Извещатель радиоволновой двухпозиционный.

Принцип действия извещателя основан на создании в пространстве между передатчиком и приемником электромагнитного поля, формирующего объемную зону обнаружения в виде вытянутого эллипсоида вращения, и регистрации изменений этого поля при пересечении зоны обнаружения нарушителем.

Вибрационный датчик Optex Vibro (производитель - Optex, сайт - http://vipdostup.lg.ua). Вибрационные датчики устанавливаются на охраняемые поверхности и детектируют толчки, вызываемые разрушительными воздействиями на эти поверхности. Встроенные микропроцессоры и режимы установки позволяют избавиться от ложных срабатываний, вызванных естественными вибрациями здания.



Рис. 1.6. Вибрационный датчик Optex Vibro.

Optex Vibro. Интеллектуальный микропроцессорный вибрационный детектор. Извещатель охранный поверхностный (радиус действия до 3.5м) вибрационный, микропроцессорный ("интеллектуальный"), чувствительность и количество импульсов запоминаются в режиме “обучения”, память тревог.

Тумбовый турникет Форма «Гранд-Элегант» (производитель - Ракитин-Автоматика, сайт - www.worldvision.com.ua). Турникеты Форма Гранд-Элегант - формирует четкую зону прохода и оптимален для решения задач разграничения доступа на охраняемых объектах с повышенными требованиями к безопасности.

Рис. 1.7. Турникет Форма «Гранд-Элегант».

Управление турникетом Форма «Гранд-Элегант» производится при помощи проводного пульта дистанционного управления (в ручном режиме), либо от аппаратной части системы контроля доступа и учета рабочего времени (в автоматическом режиме). Визуальная информация о разрешении или запрете прохода, обеспечивается встроенным блоком индикации: зеленый индикатор - проход разрешен, красный индикатор - проход запрещен.

ИК-прожектор S48-15-A-IR (производитель - Lightwell, сайт - http://vipdostup.lg.ua). ИК-прожектора используются при видеонаблюдении в условиях низкой освещенности, а также при отсутствии какого-либо света. Принцип действия основан на излучении прожекторами данного типа света в ИК-диапазоне (720-940нм), невидимого для человеческого глаза, но воспринимаемого ПЗС-матрицей видеокамеры.

Рис. 1.8. ИК-прожектор S48-15-A-IR.

Датчик разбития стекла Crow GBD-2 (производитель - Crow, сайт - http://vipdostup.lg.ua). Датчики разбития стекла служат для надежной защиты окон и других остекленных конструкций и передают сигнал тревоги при разрушении стекла на контрольный прибор. Датчики разбития стекла устанавливаются на потолок, стену или оконные и дверные проемы. GBD-2 спроектирован таким образом, что улавливая эти сигналы в правильной последовательности он избегает ложных срабатываний.

С помощью раздельных регулировок можно обеспечить с одной стороны четкое срабатывание охранной сигнализации, с другой исключить ложные срабатывания.



Рис. 1.9. Датчик разбития стекла Crow GBD-2.

Уличная камера Panasonic WV-CW380 (производитель - Panasonic, сайт - www.cezar.ua). Вентилятор/обогреватель, защитный кожух, поворотный кронштейн, монтажный рычаг, монтажная плата и распределительная коробка поставляются одним комплектом.

Рис.1.10 Panasonic WV-CW380.

Встроенная функция Super Dynamic III обеспечивает увеличение динамического диапазона в 160 раз по сравнению с традиционными камерами, обеспечивая чёткое изображение даже в условиях сильной фоновой засветки или высококонтрастного сюжета

Оснащена 1/3-дюймовым CCD (752 H x 582 V элементов), что обеспечивает разрешение в 540 цветных линий (High Mode) или 570 черно-белых линий

Внутренняя камера Panasonic WV-CL920 (производитель - Panasonic, сайт - www.cezar.ua). 1/2-дюймовая ПСЗ-матрица с построчным переносом и инфракрасной чувствительностью.

Переключается с избранного цветного режима на Ч/Б режим, автоматически или вручную.

Рис.1.11. Внутренняя камера Panasonic WV-CL920.

Купольная камера Panasonic WV-CW970/G (производитель - Panasonic, сайт - www.cezar.ua). Super Dynamic III Цветная поворотная всепогодная вандалозащищённая купольная камера c улучшенным алгоритмом слежения. 1/4", цв./ч.б.,0.5/0.04 лк, 540/570 л., 30Х оптич., SDIII, RS485,~220B/~24В, IP66 -40..+50.

Рис.1.12. Купольная камера Panasonic WV-CW970/G.

Датчик изменения объема DIO (производитель - Украина, сайт - www.cezar.ua). Извещатель DIO - инфранизкочастотный, предназначен для обнаружения открывания петельных дверей, а также остекленных строительных конструкций (проемов) и элементов интерьера закрытых помещений размерами не менее(0,6*2)м.кв.с последующей выдачей извещения “Тревога” в цепь тревожной сигнализации.



Рис.1.13. Датчик изменения объема DIO.

Биометрический замок HDBFD-1000 (производитель - Biocav, сайт - www.cezar.ua).

Рис.1.14. Биометрический замок HDBFD-1000.

Основные особенности замка:

- до 1000 пользователей;

- ключи больше не нужны;

- дверь можно открыть по отпечатку пальца или с помощью пароля PIN;

- изделие просто в эксплуатации и его легко запрограммировать;

- сигнализация предупреждает об истощении батареек.

Входные двери BODYGUARD ДЗВП-5/2. Данная модель защитной взломостойкой входной двери изготовлена на базе предыдущей модели BODYGUARD ДЗВП-5/2 с небольшими изменениями. Бронедвери выдерживают взрыв наступательной и оборонительной ручных гранат - РГД-5 и «лимонки» Ф-1. Основными отличиями стали:

- 4 плоских запатентованных антисреза;

- 3 новых принципиально других замка;

- большее количество ригелей: не 9-ть, а 16-ть.

Рис. 1.15. Входные двери BODYGUARD ДЗВП-5/2.

Взломостойкий сейф VALBERG КАРАТ 67 T EL GOLD (производитель - Промет, сайт - http://master-safe.com.ua). Элитный взломостойкий сейф (двустенный). Серия "ASK". Сейф взломостойкий, производства Россия (Промет), предназначен для хранения документов, денег, ценных бумаг, оружия и других ценностей.

Рис. 1.16. Сейф Valberg Карат 67 T EL GOLD.

Установленный код сохраняется в памяти замка даже при севшей батарее. Каждое нажатие клавиатуры сопровождается звуковым сигналом. Направление запирания ригелей - четырёхстороннее: два горизонтально слева, один вертикально вверх, один вертикально вниз и специальная петля-антисрез справа; твёрдосплавная пластина защищающая замок от высверливания; на внешней стороне двери установлена поворотная ручка, замок фиксируют механизм запирания (замок открыт/замок закрыт), а поворотная ручка приводит в движение ригельную систему (дверь отрыта/дверь закрыта). Конструкция ригельной системы исключает вскрытие сейфа путём силового воздействия на ручку.

ИПК-5 Премьер - извещатель пожарный комбинированный (поставщик интернет-магазин «Rotator» www.rotator.com.ua). ИПК-1, ИПК-3 и ИПК-5 объединяют в себе дымовой оптико-электронный и тепловой максимально-дифференциальный извещатели, что позволяет контролировать помещения, в которых доминирующий фактор пожара не определен, и обнаруживать возгорания на ранней стадии.

Рис. 1.17. Извещатель пожарный.

Как показали исследования, такой тип извещателя хорошо реагирует на все типы тестовых пожаров (горение различных материалов) и обнаруживает возгорание при минимальных мощностях и площадях очага пожара.

Размещение технических средств охраны территории предприятия представлены в Приложении Б.

Размещение технических средств охраны, размещённые непосредственно в объекте информационной деятельности, представлены в Приложении В.

1.4.2 Методы защиты информации на предприятии

Методы защиты представлены охранной службой предприятия, в составе 46 человек, с графиком работы сутки через трое. Постоянно на рабочем месте, на предприятии находиться 17 охранников, рассредоточенных по местам несения службы. Охранная система предприятия состоит из 13 постов, размещение которых представлено на Рис.1.18.

Рис. 1.18. Места назначения постов.

Посты, расположенные на территории предприятия:

- Пост №1. Пост дежурного (1 человек 24 часа) Задача: руководить охраной предприятия и караулом.

- Пост №2. Оператор ТСЗИ (1 человек 24 часа). Задача: отслеживать видеонаблюдение предприятия, контролировать работу электрических систем охраны.

- Пост №3. КПП №1 (1 человек 24 часа). Задача: контролировать вход/выход сотрудников, выезд/выезд автотранспорта через КПП-1, а так же контролировать прилегающие участки забора.

- Пост №4. КПП №2 (1 человек 24 часа). Задача: контролировать вход/выход сотрудников, выезд/выезд автотранспорта через КПП-2, а так же контролировать прилегающие участки забора.

- Пост №5. Вход в административный корпус (1 человек 24 часа). Задача: контролировать вход/выход сотрудников в административный корпус, и территорию, перед входом.

- Пост №6. Вход в производственный корпус (1 человек 24 часа). Задача: контролировать вход/выход сотрудников в административный корпус, и территорию, перед входом.

- Пост №7. Вспомогательный пост у административного корпуса (1 человек с 08:00 до 20:00).

- Пост №8. Вспомогательный пост у производственного корпуса (1 человек с 08:00 до 20:00).

- Пост №7. Вспомогательный пост на КПП-2 (1 человек с 08:00 до 20:00).

- Пост №7. Вспомогательный пост на КПП-1 (1 человек с 08:00 до 20:00).

- Пост №11 и Пост №12. Патруль, осуществляющий осмотр территории предприятия по приведённому маршруту. (2 человека 24 часа).

- Пост №13. Пост, в обязанности которого входит контроль территории в зонах выгрузки и загрузки продукции, стоянки грузового транспорта, а также прилегающего участка забора. (1 человек 24 часа).

Пунктирной линией обозначен маршрут движения патруля, осуществляется круглосуточно 2 охранниками.

График несения службы караулом приведён в Приложении В.

1.4.3 Описание уровней охраны коммерческой тайны предприятия "FitMax"

Рубежи предприятия:

1 рубеж - забор вокруг территории предприятия. Охрана осуществляется с помощью забора. По всему периметру забора растянута колючая проволока. По периметру уставлены: видеокамеры, световые прожекторы.

2 рубеж - территория предприятия. Круглое время суток патрулируется охранником, маршрут движения патруля представлен в п. 1.4.2 Раздел 1. Со стороны территории предприятия установлены радиоволновые извещатели, вибрационные датчики.

3 рубеж - административный корпус. Препятствиями будут двери и окна, которые оснащены техническими средствами оповещения проникновения.

4 рубеж - коридор 1 этажа. Видеокамера.

5 рубеж - межэтажные ступеньки. Видеокамера.

6 рубеж - коридор 2 этажа. Видеокамера.

7 рубеж - кабинет начальника исследовательского отдела. Биометрический замок, дверь, видеокамера, датчик разрушения стекла, датчик изменения объема.

8 рубеж - сейф.

Таким образом, предприятия «FitMax» обладает достаточным количеством технических средств, размещенных по территории предприятия, и в объектах информационной деятельности. Так же предприятие имеет свою службу безопасности, обеспечивающую охрану его территории круглосуточным караулом.

1. ООО «FitMax» - это коммерческое частное предприятия, занимающиеся разработкой, производством и продажей спортивного питания.

2. Предприятие занимает достаточно большую площадь, и содержит достаточно большое количество объектов на своей территории, что требует организации надлежащей системы охраны предприятия и службы охраны.

3. Предприятие располагает собственной коммерческой тайной, от охраны которой зависит дальнейшая деятельность предприятия.

4. Как целевое место для злоумышленника, будем рассматривать кабинет начальника производственного отдела, где особый интерес для него будет представлять речевая информация, информация, хранящаяся на ЭВМ и на материальных носителях в сейфе.

5. Предприятие уже располагает определёнными техническими средствами защиты, как внешними, так и внутренними. А так же имеются уже разработанные средства охраны информации. Эффективность и тех, и других, будет оценена в следующем разделе курсового проекта.

Раздел 2. Анализ степени уязвимости объекта информационной деятельности

Как один из необходимых этапов в создании эффективной системы безопасности территории, предприятия, ОИД, выполним анализ уязвимости предприятия «FitMax». Анализ уязвимости объекта проводится с целью определения возможных последствий воздействия нарушителей на элементы объекта, оценки показателей уязвимости объекта (эффективности охраны), выявления слабых мест и недостатков существующей системы охраны или рассматриваемых проектных вариантов системы, а в итоге - выбора наилучшего варианта системы охраны для конкретного объекта.

2.1 Модель нарушителей

Определение круга наиболее вероятных нарушителей (лиц, предпринимающих противоправные действия против безопасности объекта), является первостепенной задачей анализа уязвимости предприятия. Необходимо рассмотреть типы нарушителей, которые могут воздействовать на объект, цели, которые могут преследовать нарушители каждого типа, и типовые сценарии возможных действий нарушителей, описывающие последовательность (алгоритм) действий групп и отдельных нарушителей, способы их действий на каждом этапе.

Рассмотрим два типа нарушителей: внутренние и внешние.

К внутренним нарушителям отнесём сотрудников предприятия, или, в общем, лиц, имеющих возможность беспрепятственного проникновения, как на территорию предприятия, так и в здания, кабинеты. Класс внутренних нарушителей целесообразно будет разделить на 2 группы:

1) лица, имеющий доступ на территорию предприятия, следовательно, имеющие доступ в административное здание (контрольно-пропускная система отсутствует), но не имеющие доступ в ОИД.

2) лица, с тем же правами доступа, но уже имеющие доступ в ОИД.

Нарушителями могут являться как физические лица, преследующие цель наживы, благодаря выручке средств от продажи коммерческой тайны конкурирующим предприятиям. Так и юридические лица, а именно конкурирующие предприятия, занимающиеся разведдеятельностью и недобросовестной конкуренцией. И те, и другие несут одинаковый вред защищаемому предприятию.

Принято выделять 4 класса безопасности, каждый из которых соответствует типу нарушителя.

1. Для защиты жизненно важной информации, разрушение, утечка или модификация которой может привести к большим потерям для пользователя. Прочность защиты должна быть рассчитана на нарушителя - профессионала.

2. Для защиты важной информации при работе нескольких пользователей, имеющих доступ к разным массивам данных или формам своих файлов, недоступных другим пользователям. Прочность защиты должна быть рассчитана на квалифицированного нарушителя.

3. Для защиты относительно ценной информации от постоянного НСД, который может привести к ее утечке. Прочность защиты должна быть рассчитана на относительно квалифицированного нарушителя.

4. Для защиты прочей информации, не представляющей интереса для серьезных нарушителей, однако требующей учета и защиты от преднамеренного НСД. Прочность защиты должна быть рассчитана на неквалифицированного нарушителя (дилетанта).

Осуществлять нападение на предприятие с целью разрушения, модификации или хищения ИсОД будет нарушитель первой категории. Другими словами предприятие подвержено несанкционированной противоправной деятельности со стороны нарушителя профессионала который может быть сотрудником предприятия.

Наиболее вероятным направлением движения злоумышленника является движение с юго-западной и северо-западной сторон. Юго-западная сторона предприятия и оградительного забора скрыта от прямой видимости КПП №1 и №2. Так же, преодоление забора с юго-запада, даёт возможность сразу проникнуть в производственный корпус. Проникновение с северо-западной стороны так же имеет свои плюсы для злоумышленников. Этот участок скрыт от прямой видимость с КПП. При преодолении забора в этом месте даёт возможность быстро проникнуть к складам предприятия.

Совершать попытки проникновения севера, востока, или юга - не рационально. Эти зоны просматриваются с КПП, и выходят на открытые участки предприятия (парковка), что не даёт злоумышленникам ни какого преимущества.

Наиболее вероятное движение злоумышленника изображено на рис. 2.1. красными стрелками.

Рис. 2.1. Направление нарушителя.

2.2 Возможные каналы утечки информации рассматриваемого объекта информационной деятельности

Существуют следующие каналы утечки информации:

- акустический канал;

- виброакустический канал;

- ПЭМИН;

- человеческий фактор;

- визуально-оптический канал.

На первом шаге оценивается негативное воздействие по заранее определенной шкале для каждого ресурса, которому угрожает опасность.

Ценность информации специализируется как та максимальная польза, которую данное количество информации способно принести в деле уменьшения средних потерь.

На втором - по той же шкале оценивается актуальность угрозы, т.е. вероятность ее реализации.

Под актуальностью угрозы понимает целесообразность применения методов и средств снятия информации.

На третьем шаге оценивается привлекательность информации.

Под привлекательностью информации понимаем ценность, которую несет интересующая нас информация.

На четвертом шаге угрозы ранжируются по значениям их фактора риска.

Все источники угроз имеют разную степень опасности (К_оп)_i, которую можно количественно оценить, проведя их ранжирование. При этом, оценка степени опасности проводится по косвенным показателям. В качестве критериев сравнения (показателей) выбираем:

- показатель негативного воздействия;

- вероятность реализации угроз;

- привлекательность информации.

Таблица 2.1. Оценка рисков

	Акустический канал	Виброакустический канал	ПЭМИН	Визуально-оптический канал	Человеческий фактор
Показатель негативного воздействия	5	5	3	3	5
Вероятность реализации угроз	4	4	4	4	4
Привлекательность информации	5	5	4	3	5
Коп	0,8	0,8	0,38	0,28	0,8

Показатель негативного воздействия:

Таким образом, после оценки рисков каналов утечки информации с ОИД, можно выделить 3 наиболее опасных каналы утечки информации: акустический, виброакустический и человеческий фактор.

2.3 Характеристика наиболее опасных каналов утечки информации

В предыдущем подразделе были выделены основные каналы утечки информации. После проведения ранжирования и оценки рисков осуществления каналов можно выделить наиболее вероятные и наиболее опасные каналы утечки информации.

2.3.1 Акустический канал

В акустических каналах переносчиком информации (язык, шумы) выступает звук, который лежит в полосе ультра (более 20000 Гц), слухового и инфразвукового диапазонов. Средой распространения звука является воздух, земля, вода, конструкции зданий (кирпич, железобетон, металлическая арматура и др.).

Акустический канал истока ИсОД может быть создан:

1. Прослушивание, с использованием радиозакладок. Осуществление этого способа возможно только при условии проникновения посторонних лиц в помещение ОИД. Человек, находящийся в приёмной, не проходя в кабинет, может установить радиозакладку только закрепив её на входной двери. Но в таком случает вероятность её обнаружения почти 100%, поэтому угрозу установки радиозакладки будем рассматривать только при условии проникновения стороннего лица непосредственно в ОИД. Уже в кабинете радиозакладка может быть установлена (согласно генеральному плану ОИД): в столах (3.1 и 3.2), шкафу (5) и предметах освещения (6.1 и 6.2), так же следует принять во внимание размещение её в мелких предметах интерьера (за книгами и т.д.). Пример расположения радиозакладок (рис.2.2). Области, обозначенные на рисунке 2.2, подлежат регулярному осмотру работников службы безопасности предприятия.

2. Прослушивание с использованием направленного микрофона. С помощью МНД можно снимать информацию с расстояния 50-60 метров. Исходя из ситуационного плана, использовать МНД можно с парковки для сотрудников предприятия, так как окна южной стены выходят как раз на неё. Учитывая небольшое расстояния от парковки до окон, и то, что в тёплое время года окна в ОИД, вероятнее всего, будут открыты, этот канал утечки информации несёт реальную угрозу безопасности предприятия.



Рис. 2.2. Вероятное расположение радиозакладок в ОИД.

2.3.2 Виброакустический канал

Образование виброакустического канала истока ИсОД происходит вследствие вибрационных колебаний, вызванных акустическим полем звука, которое распространяется по строительным конструкциям (северная и восточная стены) и жесткими инженерными коммуникациями, элементы которых выходят за пределы КЗ (система отопления позиция 8 на генеральном плане), и стёкол.

Съём виброакустической информации с ОИД можно осуществить следующими способами:

1. Установкой стетоскопов на окна. Вероятность и эффективность этого способа мала, как так кабинет находиться находится на 2-ом этаже, и возможна установка стетоскопа только с крыши, или с лестницы, приставленной к наружной стене.

2. Установка стетоскопа на стены и трубы центрального отопления. Рассмотрим установку стетоскопа на северную и восточную стены. Не замечено произвести такую установку не представляется возможным, так как указанные стены граничат с проходными местами, и, к тому же, находящимися под круглосуточным видеонаблюдением. А вот с установкой стетоскопа на трубы центрального отопления, дела обстоят несколько иначе. К радиатору (поз. 8 на генеральном плане) подведёт стояк, уходящий на первый этаж здания. Так как, на первом этаже, под ОИД, находится неконтролируемая зона, отдел кадров предприятия, то вероятность установки стетоскопа с первого этажа, а, следовательно, и съем информации из ОИД, является высокой.

2.3.3 Человеческий фактор

Преступления, в том числе в информационной сфере, совершаются людьми. Большинство систем не может нормально функционировать без участия человека. Пользователь системы, с одной стороны, -- ее необходимый элемент, а с другой -- он же является причиной и движущей силой нарушения или преступления. Вопросы безопасности систем (компьютерных в том числе), таким образом, большей частью есть вопросы человеческих отношений и человеческого поведения. Так как, на предприятии существует круг лиц, работающих согласно своим должностным обязанностям, с коммерческой тайной предприятия, этому каналу утечки информации, вероятно, окажется одним из самых опасных.

Утечка по данному каналу может быть осуществлена путём:

1) проведение опросов, интервьюирования, анкетирования, «направленных» бесед и т.п.;

2) хищение, скрытое копирование, подделка каких-либо внутренних документов лицами, внедренными или приобретенными в коммерческих структурах, которые согласились или оказались вынужденными осуществлять указанные действия по корыстным побуждениям, в результате угроз, по физическому принуждению либо иным причинам;

3) перехват информации на различных частотных каналах внутренней и внешней радио- и телевизионной связи коммерческих структур;

4) получение информации техническими средствами путем использования различных источников сигналов в помещениях коммерческих структур как связанных с функционирующей аппаратурой (персональные компьютеры), так и через специально внедренную технику негласного съема информации (спецзакладки, в том числе дистанционного управления);

5) добывание информации о коммерческих структурах посредством применения системы аналитических методов (структурный анализ, финансовый анализ, анализ себестоимости продукции, анализ научно-технических образцов, оценка квалификационных особенностей рабочих и служащих, изучение основных материальных фондов и т.п.).

Можно выделять четыре основные причины нарушений: безответственность, самоутверждение, месть и корыстный интерес пользователей (персонала) ИС.

Таким образом, наиболее вероятными каналами утечки информации на данном объекте информационной деятельности являются акустический, виброакустический и человеческий фактор. Данные каналы нуждаются в более детальном рассмотрении, при анализе системы безопасности и рисков предприятия.

2.4 Рубежи защиты информации

Для осуществления поставленных целей злоумышленнику необходимо преодолеть рубежи (зоны предприятия):

Внешняя неконтролируемая зона - это та территория, которая находится за пределами предприятия и не подвергается контролю службы безопасности.

Внутренняя контролируемая зона - это инженерные сооружения находящиеся на территории предприятия.

Зона помещений - здание научно-исследовательской лаборатории.

Зона ОИД - кабинет начальника исследовательского отдела.

Перемещение во внешней зоне не предоставит особых трудностей злоумышленнику, так как передвижение в этой зоне разрешено. Незаметное проникновение на территорию предприятия практически невозможно, территория контролируется службой безопасности и техническими средствами охраны. Проникновение возможно лишь при официальном визите.

Проникновение зону помещений возможно лишь сотрудникам предприятия, другие лица не имеют права находиться в данном помещение. Нахождение в зоне ОИД только для определённого круга сотрудников.

Таблица 2.2. Расчет защищенности и уязвимости информации

Вероятность правильного функционирования зон	Pn
1	0,1
2	0,3
3	0,24
4	0,35
Вероятность угрозы, т.е. действия со стороны злоумышленника	0,9
Защищенность информации	34,58%
Уязвимость информации	65,42%

Таким образом, достижение максимальной информационной безопасности возможно путем контролирования рубежей, и прогнозирование действий злоумышленника.

2.5 Оценка защищенности объекта от технических каналов утечки информации

Каналы возможной утечки информации, под воздействием внешних неблагоприятных факторов, могут трансформироваться в реальные каналы утечки информации. Каналы утечки информации могут образовываться случайно (спонтанно) или создаваться искусственно, с целью вызвать утечку информации.

Рис. 2.3. Система передачи информации.

Для каждого из типов каналов утечки может быть найден, методом индивидуальных экспертных оценок, некоторый коэффициент в диапазоне от 0 до 1, определяющий степень возможности их возникновения. В качестве такого коэффициента можно взять, например, интенсивность возникновения (создания) канала утечки - . При этом очевидно, что канал утечки с использованием закладных устройств будет иметь самый большой коэффициент (самую высокую интенсивность), как наиболее часто реализуемый.

Коэффициенты (интенсивности возникновения), соответствующие всем остальным каналам, можно также найти и расставить по ранжиру по частоте их образования.

Исходя из вышеизложенного следует, что объект (помещение) в смысле безопасности информации может находиться в трех состояниях:

1) состояние S₀ - в помещении (на объекте) отсутствуют реальные КУ, но имеется некоторое множество потенциально возможных КУ;

2) состояние S₁ - на объекте (в помещении) возник или специально организован КУ информации и осуществляется перехват циркулирующей на объекте информации;

3) состояние S₂ - канал утечки информации каким-либо образом обнаружен, но он еще не устранен и продолжает функционировать.

Рис. 2.4. Переход объекта из одного состояния в другое.

Для внедрения и организации КУ, а также на его обнаружение и ликвидацию требуется время. Обозначив среднее время создания КУ - , среднее время обнаружения КУ - и среднее время блокирования (нейтрализации) КУ - , можно получить интенсивность переходов в соответствующие состояния, а именно:

где - интенсивность создания канала;

- время создания канала.

где - интенсивность выявления канала;

- время обнаружения канала.

где - интенсивность блокирования канала;

- время блокирования канала.

С помощью уравнения Колмогорова и используя преобразования Лапласа получим следующие формулы для расчета вероятности:

где - вероятность отсутствие канала утечки информации.

где - вероятность наличия канала утечки информации.

где - вероятность обнаружения канала утечки информации.

Поскольку образование каналов утечки информации на объекте есть события независимые и, как правило, несовместные, то вероятность того, что на объекте отсутствуют n каналов утечки информации будет равна 1 - П (1 - Р_on), тогда степень защиты (безопасности) объекта от каналов утечки информации будет равна:

где - степень защищенности объекта от каналов утечки информации;

- общая вероятность;

- произведение числа каналов утечки информации.

Расчёт временных промежутков:

где X, Y, Z - оценка времени экспертов;

- коэффициент доверия.

Таблица 2.3. Оценки экспертов

	Акустический
	tso	tobn	tbl
1 эксперт	45	240	30	tso	30
2 эксперт	25	300	38	tobn	223
3 эксперт	35	260	25	tbl	26
	Виброакустический
	tso	tobn	tbl
1 эксперт	55	150	35	tso	44
2 эксперт	40	180	30	tobn	142
3 эксперт	60	180	25	tbl	26
	Человеческий фактор
	tso	tobn	tbl
1 эксперт	90	200	15	tso	71
2 эксперт	60	150	20	tobn	142
3 эксперт	100	150	10	tbl	13
Коэффициент доверия
1 эксперт	0,95
2 эксперт	0,75
3 эксперт	0,83

2.6 Расчеты степени защищенности объекта

Для каждого из каналов проводятся расчеты вероятности степени защищенности информации.

Акустический канал:

Виброакустический канал:

Человеческий фактор:

Исходя из полученных данных, степень защищенности объекта от рассматриваемых каналов утечки информации будет равна:

Следовательно, вероятность существования какого-либо канала мала. Это объясняется высокий уровень защиты информации, соответствующее обращение с документами составляющие коммерческую тайну и добросовестной работой сотрудников.

2.7 Расчет материального ущерба

Рассчитывается материальный ущерб по каждому из каналов, и общие потери предприятия от всех каналов утечки информации.

Для оценки материального ущерба по каждому из каналов используется формула:

где - материальный ущерб по данному каналу;

- частота возникновения угрозы (в коэффициентах);

- возможный ущерб (в коэффициентах);

И в заключении необходимо рассчитать общие потери по всем возможным каналам утечки информации.

где - общие потери.

Таблица 2.4. Значение коэффициента частоты возникновение угрозы

№	Ожидаемая частота появления угрозы	Коэффициент
1	Почти никогда	0
2	1 раз в 1000 лет	1
3	1 раз в 100 лет	2
4	1 раз в 10 лет	3
5	1 раз в год	4
6	1 раз в месяц	5
7	1-2 раза в неделю	6
8	3 раза в день	7

Таблица 2.5. Значение коэффициента возможного ущерба

№	Значение возможного ущерба в $	коэффициент
1	1	0
2	10	1
3	100	2
4	1000	3
5	10000	4
6	100000	5
7	1000000	6
8	10000000	7

Акустический канал:

Виброакустический канал:

Человеческий фактор:

Общие потери предприятия:

Таким образом, данные расчеты указывают на весомый ущерб, который может понести предприятие в случае утечки информации по рассматриваемым каналам. Ущерб составляет 111000 у.е.

1. Осуществлять нападение с целью разрушения, модификации или хищения конфиденциальной информации на ООО «FitMax» будет нарушитель первой категории. Другими словами предприятие подвержено несанкционированной противоправной деятельности со стороны нарушителя профессионала, который может быть сотрудником предприятия.

2. После оценки рисков каналов утечки информации с ОИД, можно выделить 3 наиболее вероятные каналы утечки информации: акустический, виброакустический, человеческий фактор. Данные каналы нуждается в подробном рассмотрении и создание совершенной системы защиты от утечки информации по ним.

3. Достижение максимальной информационной безопасности возможно путем контролирования рубежей, и прогнозирование действий злоумышленника.

4. Вероятность существования какого-либо канала утечки информации мала (51,5%). Это объясняется высокий уровень защиты информации, соответствующее обращение с документами составляющие коммерческую тайну и добросовестной работой сотрудников.