Основные мероприятия по защите информации

Сущность методов защитных (криптографических) преобразований состоит в том, что информация, хранимая в системе и передаваемая по каналам связи, представляется в некотором коде, исключающем возможность ее непосредственного использования (даже в случае ее похищения).

Аппаратные средства обеспечивают:

защиту включения рабочей станции;

защиту центрального процессора;

защиту основной памяти;

защиту процессора управления ввода вывода;

защиту внешней памяти;

защиту терминалов;

общие методы защиты.

Программные средства обеспечивают:

идентификацию пользователя;

идентификацию терминала;

защиту файлов;

защиту операционных систем и прикладных программ;

вспомогательные программы защиты.

Криптографические (защитные) преобразования реализуются:

методом перестановки;

методом замены;

аддитивными методами.

Методы идентификации и аутентификации пользователей на объекте ВТ

Под идентификацией понимается определение тождественности пользователя или пользовательского процесса, необходимое для управления доступом. После идентификации обычно производится аутентификация.

Под аутентификацией пользователя (субъекта) понимается установление его подлинности.

Под авторизацией (санкционированием) подразумевается предоставление разрешения доступа к ресурсу системы.

При входе в систему пользователь ПК должен предъявить идентифицирующую информацию, определяющую законность входа и права на доступ. Эта информация проверяется соответствующей службой безопасности, определяются полномочия пользователя (аутентификация), и ему разрешается доступ к различным объектам системы (авторизация).

Идентификация требует, чтобы пользователь был известен информационной системе. Обычно система основана на присвоении пользователю идентификатора пользователя. Однако информационная система не может доверять заявленному идентификатору без подтверждения его подлинности. Установление подлинности возможно при наличии у пользователя уникальных особенностей и чем их больше, тем меньше риск подмены законного пользователя.

Требование, определяющее необходимость аутентификации должно учитываться в большинстве политик безопасности информационной системы. Все пользователи должны быть уникально идентифицированы и аутентифицированы.

Механизмы протоколирования, обеспечивающие пользователя информацией об использовании его регистрационного имени, могут предупредить пользователя об использовании его имени необычным образом (многократные ошибки при регистрации).

Типы механизмов защиты службы идентификации и аутентификации:

Парольная защита;

Интеллектуальные карты (смарт-карты);

Биометрические показатели (отпечаток пальца, радужная оболочка глаза и др.);

Генератор паролей

Блокировка с помощью пароля;

Блокировка клавиатуры;

Блокировка автоматизированного рабочего места (рабочей станции);

Прерывание соединения после нескольких ошибок при регистрации;

Уведомление пользователя о “последней успешной регистрации” и “числе ошибок при регистрации”;

Аутентификация пользователя в реальном масштабе времени;

Криптография с уникальными ключами для каждого пользователя.

Методы управления доступом.

Управление доступом может быть достигнуто при использовании дискреционного или мандатного управления доступом.

Дискреционное управление доступом - наиболее общий тип управления доступом, используемого в информационной системе. Основной принцип состоит в том, что пользователь или пользовательская программа имеет возможность явно определить типы доступа, которые могут осуществить другие пользователи или их программы к информации, владельцем которой является данный пользователь.

Мандатное управление доступом реализуется на основе результатов сравнения уровня допуска пользователя и степени конфиденциальности информации.

Существуют механизмы управления доступом, поддерживающие степень детализации управления доступом на уровне следующих категорий:

Владелец информации;

Заданная группа пользователей;

Все другие авторизованные пользователи;

Как правило, существует еще один привилегированный пользователь (администратор информационной системы), на случай нештатных ситуаций.

Такой механизм позволяет владельцу информации иметь права доступа, отличающиеся от прав всех других пользователей и определять особые права для указанной группы людей или всех остальных пользователей.

В общем случае существуют следующие права доступа:

Нет доступа (No Access);

Доступ по чтению (Read);

Доступ по записи (Write);

Дополнительные права доступа (различные комбинации или только модификация, или только добавление);

Доступ для выполнения всех операций (Full Controll).

Управление доступом пользователя по уровню вложенности информации:

на уровне файлов:

каталогов;

директорий.

Механизмы привилегий позволяют авторизованным пользователям игнорировать ограничения на доступ (легально обходить управление доступом, чтобы выполнить какую-либо функцию, получить доступ к файлу и т. д.). Механизм привилегий должен включать концепцию минимальных привилегий, согласно которой каждому субъекту в информационной системе предоставляется наиболее ограниченное множество привилегий, необходимых для выполнения задачи. Принцип минимальных привилегий должен применяться, например, при выполнении функции резервного копирования для пользователя, авторизованного выполнять эту функцию.

Типы механизмов защиты для обеспечения службы управления доступом:

Механизм управления доступом, использующий права доступа (определяющий права владельца, группы и всех остальных пользователей);

Механизм управления доступом, использующий списки управления доступом, профили пользователей и списки возможностей;

Управление доступом, использующее механизмы мандатного управления доступом;

Детальный механизм привилегий.

Регистрация и наблюдение.

Эта служба исполняет две функции.

Первая функция - обнаружение возникновения угрозы. Для всех обнаруженных случаев нарушения безопасности должна быть возможность проследить действия нарушителя во всех частях информационной системы.

Вторая функция - обеспечение системных и сетевых администраторов статистикой, которая показывает, что информационная система и сеть в целом функционируют должным образом.

Механизмы защиты для обеспечения регистрации и наблюдения:

Регистрация информации о сеансах пользователей (включая исходящую ПЭВМ, модем);

Регистрация изменений прав пользователей для управления доступом;

Регистрация использования критичных (защищаемых) файлов;

Регистрация модификаций, сделанных в защищаемом программном обеспечении;

Использование инструментов управления трафиком информационной системы;

Использование средств аудита.

В процессе своего функционирования служба регистрации и наблюдения особое внимание должна уделять регистрации действий пользователей, а для этого в контрольном журнале должны записываться все события, связанные с доступом к ресурсам вычислительной системы.

Журнал событий является непременным атрибутом защищенных вычислительных систем и способствует решению таких задач, как:

Регулирование использования средств защиты в процессе работы информационной системы;

Фиксация всех нарушений правил обращения к защищаемым данным;

Наблюдение за использованием реквизитов защиты (паролей, ключей, кодов);

Обеспечение возврата к исходному состоянию информационной системы при сбоях и других неисправностях;

Выполнение настройки элементов вычислительной системы, особенно библиотек программ и элементов баз данных в соответствии с частотой их использования.

3.5 Контроль состояния защиты информации

3.5.1 Контроль защиты информации

Контроль защиты информации - комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях предупреждения и пресечения возможности получения техническими средствами разведки охраняемых сведений об объектах предприятия; выявления и предотвращения утечки информации по техническим каналам; исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации; предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособности систем информатизации.

3.5.2 Основные задачи контроля

Основными задачами контроля являются:

проверка организации выполнения мероприятий по защите информации в подразделениях предприятия, учета требований по защите информации в разрабатываемых плановых и распорядительных документах;

выявление демаскирующих признаков объектов предприятия;

уточнение зон возможной разведки объектов предприятия и перехвата обрабатываемой на объектах информации, возможных каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;

проверка выполнения установленных норм и требований по защите информации от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите информации;

проверка выполнения требований по защите автоматизированных систем от несанкционированного доступа;

проверка выполнения требований по антивирусной защите автоматизированных систем и автоматизированных рабочих мест;

проверка знаний работников по вопросам защиты информации и их соответствия необходимому уровню подготовки для конкретного рабочего места;

оперативное принятие мер по пресечению нарушений требований (норм) защиты информации на объектах предприятия;

разработка предложений по устранению (ослаблению) демаскирующих признаков, технических каналов утечки информации и воздействия на нее в деятельности объектов предприятия.

Контроль защиты информации проводится с учетом реальных условий по всем физическим полям, по которым возможен перехват информации, циркулирующей на объектах предприятия.

В ходе контроля проверяются:

соответствие принятых мер установленным нормам противодействия разведкам;

полнота выявления демаскирующих признаков охраняемых сведений об объектах защиты и возможных технических каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;

эффективность применения организационных и технических мероприятий по защите информации;

устранение ранее выявленных недостатков.

Основными видами технического контроля на объектах предприятия являются визуально-оптический контроль, контроль эффективности защиты информации от утечки по техническим каналам, контроль несанкционированного доступа к информации и программно-технических воздействий на нее.

Полученные в ходе проведения контроля результаты обрабатываются и анализируются в целях определения достаточности и эффективности предписанных мер защиты информации и выявления нарушений. При обнаружении нарушений норм и требований по защите информации на объекте, главный специалист по информационной безопасности докладывает заместителю генерального директора предприятия по режиму и безопасности, а также руководителю структурного подразделения, в ведении которого находится контролируемый объект, где допущены нарушения, для принятия ими решения о прекращении обработки информации и проведения соответствующих организационных и технических мер по устранению нарушения. Результаты проведенного контроля защиты информации оформляются актами.

Невыполнение предписанных мероприятий по защите информации, составляющей государственную тайну, считается предпосылкой к утечке секретных сведений.

По каждой предпосылке для выяснения обстоятельств и причин невыполнения, установленных требований по указанию генерального директора предприятия проводится расследование.

Ведение контроля эффективности проводимых мероприятий и принимаемых мер по защите информации осуществляется путем проведения периодических, плановых и внезапных проверок объектов защиты предприятия.

Одной из форм контроля защиты информации является обследование объектов информатизации. Обследование объектов информатизации проводится рабочей группой в составе главного специалиста по информационной безопасности, представителей службы режима, отдела информационных технологий и вычислительного центра, и структурного подразделения, в ведении которого находится объект информатизации.

Обследование объектов информатизации проводится с целью определения соответствия выделенных помещений, основных и вспомогательных технических средств, и систем требованиям по защите информации, установленным в "Аттестате соответствия".

В ходе обследования проверяется:

соответствие категории обследуемого объекта информатизации условиям, сложившимся на момент проверки;

соблюдение организационно-режимных требований и установленных требований по звукоизоляции выделенных помещений;

сохранность печатей, пломб на технических средствах передачи и обработки информации, а также на устройствах их защиты, отсутствие повреждений экранов корпусов аппаратуры, оболочек кабелей и их соединений с шинами заземления;

наличие электробытовой, радио и телевизионной аппаратуры, и устройств иностранного и непромышленного изготовления (пультов связи, устройств вызова и оповещения, усилителей, генераторов и других вспомогательных технических средств и систем), которые могут способствовать возникновению каналов утечки информации;

выполнение требований предписаний на эксплуатацию на основные технические средства и системы по их размещению относительно вспомогательных технических средств и систем, организации электропитания и заземления;

соответствие выполняемых на объекте информатизации мероприятий по защите информации данным, изложенным в техническом паспорте;

выполнение требований по защите автоматизированных систем от несанкционированного доступа;

выполнение требований по антивирусной защите автоматизированных систем и средств вычислительной техники.

Для выявления радиоэлектронных устройств и проводов неизвестного назначения, преднамеренного нарушения защитных свойств оборудования, а также не предусмотренных правилами эксплуатации отводов от оборудования и соединительных линий, проложенных в выделенных помещениях, а также других нарушений и способов возникновения каналов утечки информации необходимо:

тщательно осмотреть мебель, сувениры (особенно иностранного производства), оборудование, установленное в этом помещении, осветительную аппаратуру, ниши отопительных батарей, шторы, оконные проемы и т.д.;

вскрыть и осмотреть розетки, выключатели осветительной сети, люки вентиляции и каналы скрытой проводки;

проверить качество установки стеклопакетов оконных приемов.

3.6 Планирование работ по защите информации и контролю

Мероприятия по защите информации предусматриваются в Плане работ предприятия по защите информации на квартал.

Для планирования работ по совершенствованию системы защиты информации объектов информатизации предприятия и проведения их аттестационных проверок составляется годовой план в интересах обеспечения защиты информации на объектах предприятия, закупок техники в защищенном исполнении и средств защиты информации. В Плане отражаются: наименование объекта, на котором проводятся работы, содержание планируемых работ; сроки выполнения; ориентировочная стоимость работ; организация - исполнитель.

Мероприятия по контролю выполнения требований руководящих и нормативно-методических документов по защите информации на объектах предприятия планируются на год и включаются в Комплексный план основных мероприятий предприятия по обеспечению защиты государственных секретов отдельным разделом. При планировании мероприятий по контролю защиты информации отражаются: задачи контроля; перечень объектов, подлежащих контролю; сроки; ответственные исполнители; привлекаемые силы и средства контроля; порядок обобщения результатов контроля.



4. РЕКОМЕНДУЕМАЯ ПОЛИТИКА БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Общее руководство организацией работ по защите информации возлагается на генерального директора предприятия, который возглавляет систему информационной безопасности предприятия. Организационно в состав системы информационной безопасности входят:

руководство (генеральный директор предприятия, заместитель генерального директора по режиму и безопасности, начальник службы режима);

постоянно действующая техническая комиссия предприятия;

рабочий аппарат системы (главный специалист по информационной безопасности, отдельные сотрудники службы режима);

руководители структурных подразделений предприятия;

исполнители в структурных подразделениях (администраторы информационной безопасности или ответственные по защите информации);

сторонние организации (организации, имеющие соответствующие лицензии для проведения работ в области защиты информации), привлекаемые по договору.

Руководство рассматривает предложения по совершенствованию системы защиты информации и принимают по ним обоснованные решения.

Постоянно действующая техническая комиссия:

вырабатывает рекомендации по защите сведений, составляющих государственную тайну;

организует методическое обеспечение и проведение аналитической работы по предупреждению утечки и комплексной защиты информации, составляющей государственную тайну;

разрабатывает систему защиты информации;

готовит предложения по совершенствованию системы защиты информации, составляющей государственную тайну;

Решение задач администрирования систем информатизации на объектах предприятия по вопросам информационной безопасности осуществляют администраторы информационной безопасности.

Главный специалист по информационной безопасности предприятия в своей деятельности по организации защиты информации, составляющей государственную тайну, от утечки по техническим каналам тесно взаимодействует со службой режима предприятия.

Первый отдел службы режима предприятия:

изучает все стороны деятельности предприятия для выявления возможных каналов утечки секретных сведений;

участвует в разработке и осуществлении контроля за своевременным засекречиванием, правильным определением и изменением степени (грифа) секретности работ, документов (в том числе электронных документов и баз данных) и изделий;

участвует в разработке и осуществлении мероприятий по шифрованию и маскировке проводимых работ, совместно с главным специалистом по информационной безопасности выявляет демаскирующие признаки объектов и принимает меры к их устранению;

участвует в разработке и осуществлении мероприятий по защите секретов от возможной утечки по техническим каналам, а также в контроле за своевременной и четкой организацией и проведением этих мероприятий;

принимает меры к предотвращению разглашения и утечки секретных сведений при эксплуатации и хранении специальных технических средств, предназначенных для передачи, приема и обработки секретной информации, а также при использовании незащищенных каналов связи.

Организация и контроль выполнения мероприятий по информационной безопасности при эксплуатации средств информатизации работниками структурных подразделений возлагается на их руководителей, в ведении которых находятся объекты информатизации, подлежащие защите. Данные функции руководители структурных подразделений осуществляют через администраторов информационной безопасности (ответственных по защите информации).

Кроме того, на структурные подразделения предприятия возлагается выполнение следующих задач в области информационной безопасности.

На отдел информационных технологий и вычислительный центр:

включение требований по обеспечению информационной безопасности в технические требования, технические задания на разработку автоматизированных систем, телекоммуникационных сетей, сетей телефонной и радиосвязи, создаваемых в интересах предприятия; контроль их выполнения в ходе технического и рабочего проектирования, а также развертывания указанных систем;

установка и регулярное обновление антивирусных средств на автоматизированных рабочих местах работников предприятия;

соблюдение требований по обеспечению информационной безопасности при эксплуатации вычислительной техники.

На отдел развития недвижимости:

согласование со службой режима и главным специалистом по информационной безопасности работ, проводимых в выделенных, условно выделенных помещениях, а также в помещениях, в которых размещаются оборудование и линии связи основных технических средств и систем, оборудование систем с критичными информационными ресурсами.

Практическая организация большей части работ по защите информации на предприятии, а также контролю эффективности принятых мер и используемых средств защиты возлагается на главного специалиста по информационной безопасности, основными задачами которого являются:

участие в анализе и выявлении возможных каналов утечки информации и воздействия на информационные ресурсы и процессы на объектах защиты предприятия;

организация классификации защищенности автоматизированных систем от несанкционированного доступа к информации и категорирования объектов защиты предприятия;

организация выполнения организационно-технических мер защиты информации на объектах предприятия и аттестации объектов защиты по требованиям информационной безопасности;

организация внедрения и эксплуатации средств защиты информации, систем информатизации предприятия;

контроль выполнения требований информационной безопасности и создания системы защиты информации в ходе строительства (реконструкции) объектов предприятия;

разработка на базе руководящих и методических документов ФСТЭК России документов, определяющих порядок и мероприятия защиты информации на объектах предприятия;

контроль выполнения требований информационной безопасности при эксплуатации объектов информатизации предприятия.

Главный специалист по информационной безопасности предприятия в соответствии с возложенными на него задачами выполняет следующие функции:

проведение единой технической политики, организация и координация работ по защите информации на предприятии;

осуществление планирования работ по технической защите информации от иностранных технических разведок и от ее утечки по техническим каналам. Участие в разработке комплексного плана основных мероприятий предприятия по обеспечению защиты государственных секретов по вопросам информационной безопасности. Подготовка отчетов о состоянии работ по защите информации на предприятии;

участие в подготовке предприятия к получению лицензии на право проведения работ с использованием сведений, отнесенных к государственной тайне;

организация и проведение ежегодного технического контроля состояния и эффективности защиты информации;

организация и координация разработки, внедрения и эксплуатации системы защиты секретной информации, обрабатываемой техническими средствами, в целях предотвращения утечки по техническим каналам;

организация аттестования подведомственных объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;

организация и проведение повседневного контроля и периодических проверок эффективности проводимых мероприятий и принимаемых мер по защите информации на подведомственных объектах информатизации. Учет и анализ результатов контроля;

разработка (самостоятельно и совместно со службой режима, другими подразделениями) проектов распорядительных документов по вопросам организации защиты информации на предприятии;

разработка предложений по совершенствованию системы защиты информации, в том числе по вопросам, решаемым в рамках федеральных программ;

оценка необходимости и разработка комплекса дополнительных мероприятий по обеспечению информационной безопасности при осуществлении международного сотрудничества с зарубежными фирмами, а также при посещении иностранными представителями территории предприятия;

участие в разработке требований по защите информации при проведении исследований, при разработке (модернизации), испытаниях, производстве и эксплуатации отдельных образцов выпускаемой продукции, а также при проектировании, строительстве (реконструкции) и эксплуатации объектов предприятия;

организация, по поручению Генерального директора, в установленном порядке расследования причин и условий появления нарушений по вопросам защиты информации, разработка предложений по устранению недостатков и предупреждению подобного рода нарушений, а также осуществление контроля за устранением этих нарушений;

организация и осуществление методического руководства работами по защите информации от технических разведок и ее утечки по техническим каналам дочерними предприятиями ОАО в соответствии с лицензией на право оказания услуг по защите государственной тайны.

подготовка отчетов о состоянии работ по защите информации на предприятии;

организация и проведение занятий с руководящим составом и специалистами предприятия по вопросам защиты информации

Главный специалист по информационной безопасности предприятия имеют право:

запрашивать и получать в структурных подразделениях предприятия необходимые материалы для организации проведения работ по вопросам защиты информации и контроля ее выполнения;

разрабатывать проекты организационных и распорядительных документов по защите информации;

контролировать деятельность структурных подразделений предприятия в части выполнения ими требований по защите информации, содержащей сведения, отнесенные к государственной тайне и несанкционированного доступа к ней;

участвовать в работе постоянно действующей технической комиссии при рассмотрении вопросов по защите информации, других вопросов по кругу ведения;

вносить предложения Генеральному директору предприятия о приостановке работ в случае обнаружения условий для утечки информации, содержащей сведения, отнесенные к государственной или коммерческой (служебной) тайне и несанкционированного доступа к ней;

привлекать (в случае необходимости) в установленном порядке необходимых специалистов, уполномоченных ФСТЭК организаций для проведения исследований, разработки решений, мероприятий и нормативно-методических документов по вопросам защиты информации;

осуществлять периодический контроль за соблюдением норм и обеспечением защиты информации от технических разведок дочерними предприятиями ОАО в соответствии с лицензией на право оказания услуг по защите государственной тайны.

В подразделениях предприятия, имеющих автоматизированные системы обработки информации, назначается администратор информационной безопасности (ответственный по защите информации), на которого возлагается:

выполнение требований по поддержанию функционирования технических и программных средств и систем защиты информации, установленных на автоматизированных рабочих местах структурного подразделения, в установленных эксплуатационной документацией режимах;

контроль технологического процесса обработки защищаемой информации и соблюдения требований инструкций при эксплуатации систем защиты информации пользователями автоматизированных систем;

контроль целостности программного обеспечения, эксплуатируемого на средствах вычислительной техники структурного подразделения, с целью выявления несанкционированных изменений в нем, а также выполнение мероприятий по антивирусной защите магнитных носителей информации;

обучение персонала и пользователей вычислительной техники правилам работы со средствами защиты информации;

участие в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации;

контроль соответствия реального состава пользователей матрице доступа.

Работники, эксплуатирующие защищенный объект информатизации (пользователи автоматизированных систем и пр.), несут персональную ответственность за выполнением установленных правил и требований по обеспечению безопасности информации.

Координирующая роль главного специалиста по информационной безопасности при выполнении рассматриваемых работ по информационной безопасности на предприятии не означает, что проблема защиты информации от утечки по техническим каналам является проблемой только одного человека. Практически все структурные подразделения предприятия, их руководители в той или иной степени участвуют в указанных работах.



5. ИНЖЕНЕРНО-ТЕХНИЧЕСКАЯ ЗАЩИТА ПОМЕЩЕНИЯ

5.1 Общая характеристика объекта защиты и его составных элементов

Рассмотрим помещение, предназначенного для проведения закрытых мероприятий на которых обсуждается информация, составляющая государственную тайну или конфиденциальную информацию электронно-промышленного предприятия. Возьмем для исследования в качестве такого кабинета, кабинет Руководителя предприятия. Руководитель имеет собственное автоматизированное рабочее место (АРМ), на котором обрабатывается и хранится различная секретная информация, подлежащая защите. Доступ в кабинет осуществляется через приемную комнату, в которой находится секретарь, также имеющий собственное АРМ.

Схема расположения кабинета представлена в приложении 1 (рисунок 21).

В кабинете присутствуют 2 окна, выходящие на улицу. Расстояние от окон до периметра предприятия составляет 100 м. Кабинет находится на третьем этаже здания, следовательно, решетки на окнах в данном помещении не предусмотрены.

Из данного кабинета руководитель может попасть в служебное помещение (комната отдыха). Эта комната не рассчитана на доступ в нее посторонних лиц, кроме самого руководителя, поэтому ее можно отнести к доверительной зоне. Кроме того, зона рассматриваемого помещения граничит с коридором.

Также, потенциально возможными каналами утечки информации в данном кабинете могут являться телефонные и электропроводные линии, окна помещения, дверные проемы и периметр самого помещения (стены, потолок, пол), система отопления, выходящая за пределы контролируемой зоны

Доступ на территорию предприятия осуществляется через контрольно-пропускные пункты (КПП), расположенные в части периметра предприятия. Вся территория имеет ограждение в виде бетонного забора высотой 2,5 м. Доступ в здание осуществляется через главный вход, через который можно попасть на лестничную клетку, ведущую на третий этаж, где расположен кабинет руководителя предприятия.

Характеристика выделенного помещения приведена в табл. 1

Таблица 1

№ п/п	Факторы влияния	Параметры
1	Общая характеристика помещения
1.1	Этаж	3
1.2	Площадь, кв. м	24
1.3	Смежные помещения	Справа - кабинет секретаря Слева -комната отдыха, туалет Внизу - помещение организации
2	Ограждения
2.1	Стены	Внешняя - кирпичная толщиной 510 мм Смежная с коридором - железобетонная толщиной 140 мм Смежная с кабинетом секретаря - кирпичная толщиной 140 мм
2.2	Потолок	Железобетонная плита толщиной 400 мм
2.3	Пол	Железобетонная плита толщиной 400 мм
2.4	Окна	Стеклопакет двухкамерный
2.5	Дверь	Внешняя - металлическая Внутренняя -деревянная

Состав технических средств, установленных в рассматриваемом помещении, представлен в Таблице 2.

Таблица 2

№ п/п	Вид оборудования	Модель	Дата установки	Класс технических средств
1	ПЭВМ в составе:	26.01.2015	ОТСС
	Системный блок	ASUS VC60-BO57K
	Монитор	ASUS VX239H
	Мышь	ASUS UX Optical Mouse Black USB
	Клавиатура	ASUS U3000 Black USB
3	Датчик ПС	ИП 212-69/1МР	15.07.2014	ВТСС
4	Датчик ОС	Фотон-9 (ИО-409-8)	15.07.2014	ВТСС

5.2 Анализ защищаемой информации, циркулирующей в кабинете, предназначенном для проведения закрытых мероприятий

Для определения классов защищенности информации, циркулирующей в информационной системе предприятия, необходимо знать, какие именно сведения обрабатываются в этой системе.

Предприятие осуществляет обработку такой конфиденциальной информации как:

a) персональные данные (персональные данные, обрабатываемые в информационной системе предприятия, относятся к категории 2, до 1000 субъектов);

b) коммерческая тайна.

Данную Информационную Систему Персональных Данных можно от нести к классу защищенности К3. Автоматизированная система компании представляет собой многопользовательскую систему, в которой все пользователи имеют разные права доступа к информации. Также, на предприятии ведется обработка информации, относящейся к государственной тайне. Исходя из этого, рассматриваемая АС имеет класс защищенности от НСД «1В».

5.3 Выявление возможных каналов утечки информации в кабинете, предназначенном для проведения закрытых мероприятий

Основными источниками информации в рассматриваемом выделенном помещении являются:

1) руководитель предприятия;

2) сотрудники компании, находящиеся в помещении руководителя;

3) АРМ руководителя предприятия;

4) продукция (проекты), находящиеся в кабинете во время их рассмотрения.

Таблица 3

№ п/п	Источник информации	Возможный канал утечки информации
1	Руководитель предприятия	Акустический
2	Сотрудники компании	Акустический
3	АРМ руководителя	Оптический
		Радиоэлектронный
		Материально-вещественный
4	Продукция (проекты), бумажные носители информации	Материально-вещественный
		Оптический

На основании таблицы 3, в которой указаны возможные источники информации в рассматриваемом кабинете, составлена таблица 4, в которой определены возможные пути утечки информации для каждого ее источника.

Таблица 4

№ п/п	Возможный канал утечки информации	Источник информации	Путь утечки информации
1	Акустический	Руководитель и сотрудники компании	Система отопления
			Воздух
			Периметр помещения (стены, двери, окна)
2	Оптический	АРМ руководителя (монитор)	Окна, открытые двери
			Дефекты стен (дыры, трещины)
		Продукция (проекты), бумажные носители информации	Окна, открытые двери
			Дефекты стен (дыры, трещины)
3	Радиоэлектронный	АРМ руководителя	Периметр помещения (стены, окна, двери, пол)
			Сети электропитания и заземления
			Оптоволоконные кабели
4	Материально-вещественный	Продукция (проекты), бумажные носители информации	Хищение носителей информации
		АРМ руководителя	Хищение или порча оборудования

5.4 Построение модели нарушителя

Для построения модели угроз необходимо сначала составить примерную картину о потенциальном нарушителе - модель нарушителя.

Типовая модель потенциально нарушителя представлена в приложении 2 (таблица 18).

Для оценки эффективности противодействия злоумышленникам будет использована рубежная модель доступа предприятия, изображающая объекты, которые необходимо преодолеть злоумышленнику для доступа к ним.

Периметр территории предприятия (рубеж I), периметр здания предприятия (рубеж II), периметр прилегающих к выделенному помещению кабинетов (дверь в кабинет секретаря) (рубеж III), периметр выделенного помещения (рубеж IV)

Таблица 5 объединяет в себе типовую модель нарушителя и рубежную модель доступа. (Показатели времени, затрачиваемые злоумышленником на осуществление своих целей)

Таблица 5

Действия злоумышленника	Длительность осуществления злоумышленником своих целей в зависимости от его подготовленности, сек
	Дилетант	Любитель	Специалист	Сотрудник
Преодоление первого рубежа	60	60	60	20
Преодоление второго рубежа	-	150	120	40
Преодоление третьего рубежа	-	180	160	180
Преодоление четвертого рубежа	-	120	100	120
Осуществление противоправных действий	-	20-60	20-60	20-60
Покидание территории предприятия	-	120	120	120
Итого:	-	650-690	580-620	500-540

При попытке проникновения злоумышленника на территорию предприятия, еще на первом рубеже срабатывает охранная сигнализация, которая оповещает пост охраны предприятия, а также внешнюю спецслужбу о появлении нарушителей. Время реагирования спецслужбы составляет 8 минут. Минимальное время, затрачиваемое нарушителем на осуществление своих действий и достижение целей, составляет от 7 до 11 минут (в зависимости от типа нарушителя), что означает, что внешние спецслужбы успеют приехать до того, как злоумышленник покинет территорию предприятия. При этом его также могут задержать сотрудники охраны самого предприятия. Кроме того, при срабатывании охранной сигнализации включается звуковая сирена, которая возможно отпугнёт нарушителя. Из данного текста следует, что инженерная защита на предприятии соответствует норме, определяемой рубежной моделью доступа - время, затрачиваемое злоумышленником на осуществление своих целей больше, чем время, затрачиваемое на его перехват.

5.5 Построение модели угроз утечки информации по техническим каналам в кабинете, предназначенном для проведения закрытых мероприятий

Так как в качестве критерия защищенности речевой информации используется отношение сигнал/шум, при котором качество подслушиваемой речевой информации ниже допустимого уровня. В соответствии с существующими нормами понимание речи невозможно, если отношение помеха/сигнал равно 6-8, а акустический сигнал не воспринимается человеком как речевой, если отношение помеха/сигнал превышает 8-10. Следовательно, для гарантированной защищенности речевой информации отношение сигнал/шум должно быть не более 0,1 или (-10) дБ. Оценка угрозы акустического канала утечки информации при подслушивании человеком производится по формуле:

(1)

где - уровень громкости на приёмнике;

- уровень громкости источника информации;

- величина звукоизоляции элемента среды распространения;

- уровень шума.

При применении технического акустического приемника эта величина увеличивается на 6 дБ.

Отдельные значения входящих в формулу слагаемых указаны в таблице 6.

Таблица 6

Характеристика речи	Громкость, дБ	Основной элемент среды распространения	Величина звукоизоляции, дБ	Место нахождение акустического приемника	Уровень шума, дБ
Спокойный разговор	50-60	Стена и дверь в кабинет секретаря	35	Кабинет секретаря	~25
Громкая речь	60-70	Стена в коридор	51	Коридор	34
Шумное совещание	70-80	Стена в смежную комнату	45	Соседнее помещение	30
		Межэтажное перекрытие	50	Помещения на верхнем и нижних этажах	30
		Вентиляционный короб	0,2 дБ/м, 3-7 дБ на изгиб	В вентиляционном отверстии другого помещения	30
		Трубы отопления	35	На трубе отопления	30



Уровни громкости речевой информации в возможных местах размещения акустического приемника злоумышленника при громкости источника 70 дБ, а также риск подслушивания, указаны в таблице 7

Таблица 7

№ п/п	Место размещения акустического приемника злоумышленника	Уровень громкости, дБ	Риск подслушивания
1	Кабинет секретаря	10	Очень высокий
2	Коридор	-15	Отсутствует
3	Соседнее помещение	-5	Низкий
4	Верхнее (нижнее) помещение	-10	Отсутствует
5	Вентиляционный короб	5	Средний
6	Трубы отопления	5	Средний

Как следует из таблицы 7, наибольшую угрозу создает канал утечки, приемник которого расположен в кабинете секретаря, на трубах системы отопления и в коробе вентиляции. Каналом утечки, приемник которого расположен в коридоре и в верхних/нижних помещениях можно пренебречь.

По таблице 7 можно составить график, изображающий отклонение уровня громкости на приемнике сигнала от нормы, равной (-10) дБ (рисунок 9).

Рисунок 9. График отклонения уровня громкости на приемнике от нормы



Оценка эффективности защищенности технических каналов утечки информации осуществляется путём рассмотрения возможных каналов утечки информации, источников сигнала, путей утечки информации и средств съема информации (таблица. 8.) При этом для каждого элемента таблицы определяется вероятностная оценка существования канала, а также присваивается ранг угрозы.

В общем случае подсистему инженерно-технической защиты кабинета, предназначенного для ведения закрытых мероприятий целесообразно разделить на комплексы, каждый из которых объединяет силы и средства предотвращения одной из угроз утечки информации (рисунок 10).

Рисунок 10. Структурно-функциональная схема разрабатываемой подсистемы инженерно-технической защиты кабинета, предназначенного для ведения закрытых мероприятий

5.6 Система защиты помещения

Защита акустического канала.

Окна. Используются двойные стеклопакеты с двойным остеклением. Точный подбор размеров рам. Уплотняющими материалами заделываются все оставшиеся щели.

Двери. Используются двойные двери. Точный подбор размеров, исключающий формирование полостей и щелей. Уплотняющими материалами заделываются все оставшиеся щели. Элементы конструкции тамбура между дверьми покрываются звукопоглощающими материалами.

Система вентиляции. Для предотвращения распространения звука по каналам вентиляции использован глушитель LDR 50 - 25 и вентилятор RSI 60-35 L.

Таблица № 8. Полоса шумоподавления LDR 50-25

	125	250	500	1к	2к	4к	8к
LDR 50-25	10	15	25	25	20	15	12

Защита виброакустического канала.

Для защиты объекта по виброакустическому каналу утечки информации обычно используются системы виброакустического зашумления. Для эффективной защиты на этапе строительства или ремонта помещений выполняется комплекс работ по уменьшению распространения структурного звука в конструкциях. Для этого можно использовать покрытия, обладающие звукоизолирующими свойствами.

На российском рынке средств защиты информации представлено несколько комплексов виброакустической защиты: «Шорох-1», «Шорох-2», «Шторм», «ВВ-301», «Шелест-4к». Основные технические характеристики комплексов показаны в таблице № 9.



Таблица № 9 Основные технические характеристики комплексов

Характеристика	«Шорох-1» /2	«Шторм» SI-3001	«ВВ-301»	«Шелест-4к»
Количество независимых каналов	3/1	2	6	4 (или 2 повышенной мощности)
Диапазон генерируемых частот (Гц)	175 - 5600	25 - 5000	80 - 10000	170 - 5700
Количество вибропреобразователей, подключаемых на 1 канал:	КВП2 - 24 КВП7 - 16 Акустические -16	ЭМ - 72 Керамические -200 Акустическик - 144 Пьезо-не ограничено	10	46 (23)
Эффективный радиус действия вибропреобразователей на перекрытии 0,25 м.	КВП2 - 6м.		20 м2	1,75 (2,5)
Сертификат Гостехкомиссии	есть	есть	есть	есть

В проекте решено использовать комплекс акустического и виброакустического зашумления «Шелест - 4к». Данный комплекс, по сравнению с другими комплексами, обладает следующими преимуществами:

микроконтроллер обеспечивает адаптивную самонастройку и акустопуск каждого канала в зависимости от уровня акустических сигналов в защищаемом помещении;

имеется возможность раздельного управления каждым каналом (группой каналов) с пульта дистанционного управления по закрытому радиоканалу;

настройка системы производится в автоматическом режиме при помощи настроечного комплекта или в ручном режиме при помощи персонального компьютера.

Эти особенности значительно повышают комфортность использования комплекса. Акустические излучатели (колонки) устанавливаются в тамбурах между дверями и за подвесным потолком.



Рисунок 11. Размещение акустических излучателей

Вибропреобразователи устанавливаются:

на оконные стекла (по одному на каждое стекло);

на стенах и полах равномерно распределяются по всей площади, обеспечивая надежное зашумление;

на каждой трубе отопления, выходящей за пределы помещений.

Рисунок 12. Расположение вибропреобразователей

Защита электрического канала.

Из анализа электрического канала видно, что информативный сигнал из помещений может распространяться по:

электрической сети;

цепи заземления;

телефонной линии;

линиям охранно-пожарной сигнализации.

Электрическая сеть.

Защита информации от утечки по сети электропитания осуществляется методом фильтрации опасных сигналов или методом создания маскирующей помехи.

Метод фильтрации опасных сигналов.



Таблица № 10. Характеристики сетевых фильтров

Характеристика	ФСП-1Ф-7А	ФСП-3Ф-10А	ФСПК-100	ФСПК-200
Номинальный ток, А	7	10	100	200
Масса, кг	1,4	3,5	18,2	18,2
Габариты, мм	150 х 115 х 270	270 х 150 х 115	одного блока 800 х 300х 92	одного блока 800 х 300х 92
Примечание	Сертификат Гостехкомиссии России	Защита трехфазных сетей	Состоит из двух блоков Сертификат Гостехкомиссии России

Неудобство использования сетевых фильтров заключается в том, что, включая в розетку электроприбор в защищаемом помещении необходимо помнить на какой максимальный ток потребления рассчитан фильтр.

Метод создания маскирующих помех.

Метод создания маскирующих помех основан на создании шумоподобных сигналов в сети.

Таблица № 11. Характеристики генераторов шума

Характеристика	СОНАТА-РК2	СОНАТА-С2.2	ЦИКАДА-С	ЦИКАДА-С3
Кол-во зашумляемых линий	3	2	1	3
Диапазон частот, МГц	0,01 - 2000	0,02 - 10,0	0,08 - 10,0	0,08 - 3,5
Выходная мощность, Вт	10	4 на каждой линии	5	5 на каждой линии
Габариты, мм	142 х 16 х 60	230 х 195 х 65	160 х 140 х 60	176 х 170 х 68
Примечание	Возможность регулировки уровня шума, наличие ДУ, сертификат Гостехкомиссии России	Сертификат Гостехкомиссии России

Телефонная линия.

В данной системе не защищаются телефонные разговоры, но защищаются разговоры, ведущиеся в помещении от прослушивания по телефонной линии. При таком подходе учитываем, что:

телефонные аппараты (даже при положенной трубке) могут быть использованы для прослушивания разговоров, ведущихся в помещениях, где они установлены;

телефонные линии, проходящие через помещения, могут использоваться в качестве источников питания электронных устройств перехвата речевой (акустической) информации, установленных в этих помещениях, а также для передачи, перехваченной ими информации;

Для защиты телефонных линий используются как активные, так и пассивные методы:

ограничение опасных сигналов;

фильтрация опасных сигналов ("Экран", "Гранит-8", "Грань-300"…);

отключение источников (преобразователей) опасных сигналов («Барьер-М1», «Барьер-2»);

метод низкочастотной маскирующей помехи (МП-1А, МП-1Ц);

метод высокочастотной широкополосной маскирующей помехи (Sel SP-17/D, "КТЛ-3","КТЛ-400", “СКИТ”, "Ком-3", "Прокруст" (ПТЗ-003), "Прокруст-2000","Гром-ЗИ-6", "Протон").

В данной системе для блокирования электрического канала утечки использован универсальный генератор шума «Гром-ЗИ-6».

Прибор обеспечивает противодействие:

телефонным радиопередатчикам с питанием от линии и с внешним питанием, включенным в линию последовательно, параллельно или через индукционные датчики;

аппаратуре магнитной записи, подключенной к линии через контактные или индуктивные съемники;

параллельным телефонным аппаратом;

микрофонам и радиомикрофонам с питанием от линии и аналогичной аппаратуре, использующей линию в качестве канала передачи или в качестве источника электропитания;

аппаратуре «ВЧ-навязывания»;

устройствам, использующим электрическую сеть помещения в качестве канала утечки информации.

Технические характеристики представлены в таблице № 12.

Таблица № 12

Максимальное значение напряжения шумовой помехи, генерируемой по телефонной линии	8В
Отношение напряжения помех, генерируемых по линии, к напряжению помех на клеммах ТА	не менее 50дБ
Максимальный частотный диапазон помехи по линии	50Гц...50кГц
Минимальный частотный диапазон помехи по линии	6,3...50кГц
Напряжение линии при «положенной» трубке ТА, при котором обеспечивается гальваническое отключение ТА в автоматическом режиме работы прибора	35В
Диапазон регулировки тока линии	не менее 10мА
Диапазон помехи, генерируемой по электросети	0,1...5МГц
Питание	от электросети 220В 50Гц

Рисунок 13. Схема системы защиты телефонных линий

Линии ОПС.

Возможность появления информационного сигнала в линиях охранно-пожарной сигнализации за счет микрофонного эффекта или наводок от других технических средств проверяется при проведении специальных (или объектовых) исследований.

Защита электромагнитного канала.

Специальные исследования.

Для выявления возможности перехвата информации по электромагнитному каналу проводятся специальные исследования основных и вспомогательных технических средств. Вместо проведения специальных исследований отдельных технических средств возможно проведение объектовых исследований. Для проведения специальных исследований привлекается организация, имеющая право на оказание услуг по защите информации. Подтверждением такого права является наличие лицензии Гостехкомиссии при президенте РФ.

Организацией, проводившей специальные исследования, выдается Предписание на эксплуатацию основных и вспомогательных технических средств. На объекте необходимо обеспечить условия эксплуатации в соответствии с Предписанием.

Если специальными исследованиями выявлена возможность перехвата информации по ПЭМИН за пределами контролируемой зоны, то необходимо использовать технические средства в защищенном исполнении, либо устройства радиомаскировки информационных излучений (например, ГШ-1000м, ГШ-К-1000м).

Радиоконтроль.

В целях своевременного выявления, возможно внедренных устройств перехвата информации с каналом передачи по радио, на объекте необходимо использовать технические средства контроля эфира.

Для надежного обнаружения и локализации закладных устройств используются специализированные комплексы: «Патруль», «RS turbo 82», «Oscor OSС-5000», «КРК-5м».

Однако использование этих комплексов затрудняется следующими причинами:

- для эффективной эксплуатации необходимо иметь достаточную специальную подготовку;

- приобретение «…специальных радиоприемных средств для ведения эфирного технического радиоконтроля, в том числе сканирующих приемников…» ограничивается постановлением правительства РФ №157 25.02.2000 г.;

- высокая стоимость.

В целях упрощения эксплуатации системы защиты руководителем и уменьшения стоимости предлагается следующее решение. В кабинете размещается индикатор поля (на выбор из таблицы № 14), настроенный в соответствии с существующей электромагнитной обстановкой. Индикатор поля способен обнаружить появление несанкционированного источника радиоизлучений и выдать сигнал тревоги. Руководителю при получении сигнала тревоги предлагается вызвать специалиста для выяснения причины.

Если на предприятии имеется необходимость периодической проверки и других помещений на наличие каналов утечки информации, то целесообразно вместо индикатора поля использовать многофункциональный поисковый прибор типа CPM-700 («Акула») или ST-031 («Пиранья»).

Таблица № 13 Технические характеристики индикаторов полей

Модель	Диапазон частот, МГц	Акустическая завязка	Индикация	Габариты, мм	Примечания
D006	50-1000	есть	светодиодная, звук, отключаемая шкала	128х63х20	Сертификат Гостехкомиссии России.
D008	50-1500	есть	светодиодная, звук, отключаемая шкала	148х68х24	Совмещен с приемником для проверки проводных комм. до 500 В в диап. 0,0 - 7 МГц.
RM-10	80-800	нет	световая, звуковая, отключаемая	150х60х5	Скрытого ношения (портмоне).
R-Finder	20-1300	нет	световая, звуковая	50х40х10	Миниатюрный.
ДИ-К	50-1500	нет	cкрытая световая		Камуфлирован в настольных часах-радиоприемнике.
Спутник	200-2000	нет	звуковая, вибро	50х40х10	Миниатюрный.
ИЭП	60-1500	нет	световая, звуковая отключаемая	50х37х15	Миниатюрный.
Ekostate	30-3000	нет	звуковая	145х14х17	Камуфлирован в авторучке
SEL SP-71 «Оберег»	100-2800	нет	Вибро, световая, звуковая, отключаемая.	60х40х18	Миниатюрный
РИЧ-3	20-1800	нет	световая, звуковая	155х55х38

Мобильный телефон.

Совершенно очевидно, что для современного руководителя мобильная связь так же необходима, как и проводная. Вместе с тем сотовый телефон - это передатчик, имеющий микрофон т.е. прекрасная, легальная «закладка». В последнее время часто появляются сообщения о несанкционированном использовании сотовых телефонов. В связи с этим вопрос блокирования возможности использования мобильного телефона для прослушивания помещения очень актуален.

На рынке средств защиты информации предлагается несколько устройств блокировки сотовых телефонов: SEL SP-23, C-Guard 100, C-Guard 300, RS Jammer.

Наиболее интересным устройством является индикатор поля «Ладья».

Конструктивно изделие "Ладья" размещено в корпусе стандартной карандашницы.

Трубка сотового телефона помещается во внутренний объем карандашницы. В случае негласной дистанционной активации телефона в режим прослушивания единственным демаскирующим признаком является изменение напряженности электромагнитного поля (т.е. передатчик сотового телефона несанкционированно включается на передачу). Это изменение фиксируется индикатором поля, входящим в состав устройства, который дает команду на автоматическое включение акустического шумогенератора, расположенного внутри объема изделия "Ладья". Уровень акустического шума на входе микрофона трубки сотового телефона таков, что обеспечивается гарантированное закрытие этого канала утечки информации, т.е. зашумляется весь тракт передачи речевой информации таким образом, что на приемном конце отсутствуют какие-либо признаки речи.