Основные мероприятия по защите информации

Технические характеристики:

Уровень шума в точке размещения микрофона сотового телефона - не менее 100дБ

Эффективный спектр шумового сигнала - 300-4000Гц

Питание изделия "Ладья" - 2 батареи типа ААА Время непрерывной работы от одного комплекта батарей не менее 6-ти месяцев

Защита оптического канала.

Для предотвращения утечки информации по оптическому каналу следует не забывать закрывать шторы или жалюзи. Однако более эффективным способом закрытия данного канала является использование декоративных, рифленых стекол, не позволяющих просматривать помещение.

Защита каналов утечки информации с компьютера.

Исходя из задачи поставленной перед системой защиты, необходимо защитить отдельные документы в электронном виде (или файлы), обрабатываемые руководителем на компьютере от несанкционированного доступа из сети. На данной рабочей станции установлены программные средства, использующие сетевые сервисы и возможности обращения в Интернет. Анализ существующих средств защиты ресурсов рабочих станций от несанкционированного доступа из сети показывает, что даже комплексное использование нескольких программно - аппаратных средств не позволяет быть уверенным в неприкосновенности данных рабочей станции. Кроме того, эффективность защиты компьютера в вычислительных сетях зависит от множества факторов:

постоянное выявление новых уязвимостей операционных систем и приложений;

постоянное обновление и совершенствование программных средств, предназначенных для получения несанкционированного доступа к компьютерам из сети;

высокая зависимость надежности и безопасности сети от профессионализма и ответственности системного администратора (администратор должен постоянно отслеживать появления обновлений, патчей для операционных систем, антивирусов, систем защиты и. т.д. правильно и своевременно их применять)

К этому нужно добавить, что для грамотной эксплуатации средств защиты (особенно если их несколько) нужны определенные навыки, знания и профессиональная подготовка.

В связи с изложенным принято решение в данной системе защиты для обработки особо важных данных использовать отдельный компьютер.

Компьютер для обработки особо важных данных.

Для удобства пользования двумя компьютерами предлагается использовать консоль подключений типа ATN CS-122, позволяющую переключать монитор, клавиатуру и «мышь» на разные системные блоки.

Рисунок 14. Комплекс технических средств обработки особо важных данных

Компьютер №2 никаким образом не взаимодействует с сетью предприятия или любой другой. Меры защиты используются как на локальной рабочей станции.

Для защиты компьютера, как носителя информации, использован программно - аппаратный комплекс «Верба-OW». В комплексе использована плата Криптон-4PCI.

КРИПТОН-4/PCI обеспечивает:

контроль доступа к компьютеру;

разграничение прав пользователей на доступ к компьютеру;

контроль целостности файлов операционной системы и системных областей памяти;

криптографическую защиту данных.

Физический.

Для исключения возможности восстановления информации посторонними по черновикам документов необходимо использовать уничтожитель бумаг.

Для классификации уничтожителей обычно пользуются международным стандартом DIN 32757 показанным в таблице № 14:

Таблица № 14. Международный стандарт DIN 32757

Уровни секретности	Размеры фрагментов резки
1	Общие документы	Полоски 12 мм или меньше
2	Внутренние документы	Полоски 6 мм или меньше
3	Конфиденциальные (ДСП) документы	Полоски 2 мм или меньше; Частицы 4х60 мм или меньше
4	Секретные документы	Частицы 2х15 мм или меньше
5	Сов. секретные документы	Частицы 0.8х15 мм или меньше

Сегодня на рынке существует большой выбор шредеров различного дизайна и производительности. Можно порекомендовать одну из моделей: bLS241, bLS108cc, HSM80.

Съемные жесткие диски, дискеты и ценные документы храните в сейфе.



5.7 Оценка функциональной эффективности системы инженерно-технической защиты кабинета, предназначенного для ведения закрытых мероприятий

Для оценки состояния инженерно-технической защищенности кабинета выбраны следующие основные направления:

1) защита по акустическому каналу;

2) защита по оптическому каналу;

3) защита по радиоэлектронному каналу;

4) защита по вещественному каналу.

В каждом направлении выделены функционально ориентированные классы мер защиты информации, каждому из которых присваивается условная количественная оценка по шестибалльной шкале:

0 -- полное отсутствие каких-либо мероприятий обеспечения безопасности;

1 -- отдельные несистематизированные мероприятия;

2 -- отдельные мероприятия, проводимые по единому плану обеспечения безопасности;

3 -- минимальный объем мероприятий по единому плану;

4 -- расширенные мероприятия по отражению вероятных угроз;

5 -- полный набор мероприятий, увязанный с наращиванием мер по отражению непредвиденных опасностей угроз.

Таблица 15. Матрица комплексной оценки состояния безопасности существующей инженерно-технической системы кабинета руководителя

Классы	Оценка	Оценка по м.з.	Оценка равнопрочности
	0	1	2	3	4	5
1. Защита по акустическому каналу
1.1. Защита окон от лазерного наведения	0						0	1,25
1.2. Изоляция вентиляционной шахты			2
1.3. Изоляция системы отопления		1
1.4. Изоляция периметра помещения			2
2. Защита по оптическому каналу
2.1. Защита от прямого наблюдения						5	4	4,5
2.2. Защита от просвечивания рентгеном					4
3. Защита по радиоэлектронному каналу
3.1. Защита при помощи шумогенератора					4		4	4,5
3.2. Экранирование проводов						5
3.3. Экранирование ЭВМ					4
3.4. Экранирование помещений						5
4. Защита по вещественному каналу
4.1. Система разграничения доступа					4		4	4,66
4.2. Система видеонаблюдения						5
4.3. Механические замки						5

Для сравнения существующей системы инженерно-технической защиты с разработанной, необходимо провести аналогичные численную и равнопрочную оценки. В таблице 16 определены уровни защищенности системы после внедрения технических средств.

Таблица 16 Матрица комплексной оценки состояния безопасности разработанной инженерно-технической системы кабинета руководителя

Классы	Оценка	Оценка по м.з.	Оценка равнопрочности
	0	1	2	3	4	5
1. Защита по акустическому каналу
1.1. Защита окон от лазерного наведения					4		4	4,75
1.2. Изоляция вентиляционной шахты						5
1.3. Изоляция системы отопления						5
1.4. Изоляция периметра помещения						5
2. Защита по оптическому каналу
2.1. Защита от прямого наблюдения						5	4	4,5
2.2. Защита от просвечивания рентгеном					4
3. Защита по радиоэлектронному каналу
3.1. Защита при помощи шумогенератора					4		4	4,5
3.2. Экранирование проводов						5
3.3. Экранирование ЭВМ					4
3.4. Экранирование помещений						5
4. Защита по вещественному каналу
4.1. Система разграничения доступа					4		4	4,66
4.2. Система видеонаблюдения						5
4.3. Механические замки						5



ЗАКЛЮЧЕНИЕ

В разработке концепции обеспечения безопасности информации на коммерческом предприятии ключевыми моментами являются четкость и ясность постановки задачи. В первую очередь это касается определений объекта и предмета защиты, а также потенциальных угроз. От этого зависит все дальнейшее построение системы защиты, ее эффективность и стоимость.

Хочется еще раз обратить внимание, что защита информации -- это не разовое мероприятие и не совокупность мероприятий, а это непрерывный процесс, который должен протекать (осуществляться) во все время и на всех этапах работы ПЭВМ.

Обеспечение надежного функционирования механизмов защиты информации на рабочих станциях и местах сопряжено с решением специфических задач, следовательно, может осуществляться лишь подготовленными специалистами.

Сегодня, защита информации это уже серьезное и самостоятельное научное направление.

Идеальную защиту построить невозможно. И если Ваша информация предоставляет для кого-то интерес, то скорее всего ее добудут. Но взлом защиты занимает время! И если это время будет слишком большим - утратится актуальность информации.

Тем не менее, важно помнить, что построение абсолютно надежной системы невозможно в принципе, даже если объединить для этой цели все существующие меры и средства. Целесообразно также обратить внимание на объективную комплексную оценку эффективности системы безопасности в целом. В настоящее время такая оценка осуществляется преимущественно экспертным путем при отсутствии строго обоснованных критериев (например, стоимости). Следовательно, прежде чем строить систему защиты, необходимо оценить затраты на ее создание и возможные затраты на ликвидацию последствий в случае потери защищаемых данных. Защита будет экономически целесообразна только в том случае, если затраты на ее создание будут меньше возможных потерь.

Анализ существующей системы инженерно-технической защиты помещения, предназначенного для проведения закрытых мероприятий на которых обсуждается информация, составляющая государственную тайну или конфиденциальную информацию, электронно-промышленного предприятия показал, что среди всех возможных каналов утечки, наибольшую вероятность возникновения имеет акустический канал. Оптический, радиоэлектронный и вещественный каналы соответствуют нормам защиты. На основании полученных данных были выдвинуты требования к проектируемой системе инженерно-технической защиты.

В ходе исследования системы инженерно-технической защиты помещения, предназначенного для проведения закрытых мероприятий на которых обсуждается информация, составляющая государственную тайну или конфиденциальную информацию, был определен алгоритм проектирования подсистемы инженерно-технической защиты информации. Для уменьшения возможности возникновения каналов утечки информации были предложены различные технические средства.

В данной работе, в полном объеме, были выполнены следующие задачи:

Исследованы угрозы и каналы утечки информации. Рассмотрена реализация технических мер защиты информации;

Исследованы основные мероприятия по защите информации на предприятии;

Разработана политика безопасности предприятия.

Проведен анализ существующей системы инженерно-технической защиты помещения и предложены возможные варианты модернизации системы инженерно-технической защиты помещения.



ЛИТЕРАТУРА

1. Барсуков В.А. Найти и обезвредить. Технические средства обнаружения угроз//Мир безопасности. 1997. № 8/48.

2. Государственная тайна и ее защита в Российской Федерации: Учеб. пособ. СПб.: Юридический центр Пресс, 2005.

3. Домарев В. В. Безопасность информационных технологий. Методология создания систем защиты. СПб.: Диасофт, 2002.

4. Федеральный закон от 27.07.2006 N 149-ФЗ.

5. Каторин Ю.Ф., Куренков Е.В., Лысов А.В., Остапенко А.Н. Большая энциклопедия промышленного шпионажа. СПб.: Полигон, 2000.

6. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. СПб.: БХВ-Петербург, 2003.

7. Торокин А.А. «Инженерно-техническая защита информации», - М: Гелиос АРВ, 2005.

8. Зайцев А.П., Шелупанов А.А., Мещеряков Р.В., Скрыль С.В., Голубятников И.В. «Технические средства и методы защиты информации: Учебник для вузов»,- М.: ООО "Издательство Машиностроение", 2009.- 508с.

9. Герасименко В.Г., Лаврухин Ю.Н., Тупота В.И. Методы защиты акустической речевой информации от утечки по техническим каналам. - М.: РЦИБ «Факел», 2008. - 256 с.

10. Приказ Федеральной службы государственной регистрации, кадастра и картографии от 29 января 2013 г. № П/31 "Об организации и проведении работ по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных в Федеральной службе государственной регистрации, кадастра и картографии"

11. Хорев А.А. Техническая защита информации: учеб. пособие для студентов вузов. /Т.1. Технические каналы утечки информации. - М.; НПЦ «Аналитика», 2008. - 436 с.: ил.

12. Никифоров А.А., Никифорова А.А., Хромов И.Н. Защита цепей электропитания средств вычислительной техники как способ защиты объектов информатизации от утечки информации по техническим каналам Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур : Межвузовский сборник трудов V Всероссийской научно-технической конференции / Под редакцией Жигулина Г.П., Будько М.Б. -- 16-17 октября 2014 г. -- СПб : Университет ИТМО, 2015. -- С. 449-451.-534с. Статья;

13. Никифоров А.А., Никифорова А.А., Хромов И.Н. Экранирование как способ защиты объектов информатизации от утечки информации по техническим каналам //Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур : Межвузовский сборник трудов V Всероссийской научно-технической конференции / Под редакцией Жигулина Г.П., Будько М.Б. -- 16-17 октября 2014 г. -- СПб : Университет ИТМО, 2015. -- с. 452-455.-534с. Статья;

14. ГОСТ Р 50922-2006 -- Защита информации.

15. Доктрина информационной безопасности российской федерации. 9.09.2000 г., № Пр-1895.

16. Специальные требования и рекомендации по технической защите конфиденциальной информации» (Утверждены приказом Гостехкомиссии России от 30.08.2002 г. № 282);

17. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий (Утверждены приказом Гостехкомиссии России от 19.06.2002 №187);

18. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (ФСТЭК России, от 14.02.2008);

19. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, от 14.02.2008).

20. Инструкция по обеспечению режима секретности при обработке информации с использованием СВТ в ОАО «Светлана» от 15.04.2014г (для служебного пользования);

21. Инструкция по защите речевой информации при проведении совещаний по закрытым вопросам в ОАО от 19.02.2013г «Светлана» (для служебного пользования);

22. Руководство по защите информации от ИТР и её утечки по техническим каналам в ОАО «Светлана» от 10.09.2014г (для служебного пользования);

23. Жигулин Г.П. Прогнозирование угроз автоматизированным системам управления. СПб; СПб ГИТМО (ТУ), 2003г. 123с.



Приложение 1

Рисунок План кабинета руководителя предприятия

Размещено на http://www.allbest.ru/

Приложение 2

Таблица Типовая модель нарушителя

Тип	Категория	Подготовленность
		Психофизическая	Техническая	Осведомленность
		Высокая	Средняя	Низкая	Высокая	Средняя	Низкая	Высокая	Средняя	Низкая
Внешний	Специалист	+			+			+
	Любитель		+			+			+
	Дилетант			+			+			+
Внутренний	Сотрудник		+			+		+



Приложение 3

Таблица Модель технических каналов утечки информации

№ п/п	Возможный канал утечки информации	Источник информации	Путь утечки информации	Средство съема информации	Реальность существования канала утечки	Ранг угрозы
1	Акустический	Руководитель и сотрудники компании	Система отопления	Стетоскоп	Средняя	2
			Воздух	Микрофон	Высокая	1
			Периметр помещения (стены, двери, окна)	Обычный или лазерный микрофон	Высокая	1
2	Оптический	АРМ руководителя (монитор)	Окна, открытые двери	Фотоаппараты, видеокамеры	Норма	3
			Дефекты стен (дыры, трещины)	Рентгеновое оборудование, фотоаппараты, видеокамеры	Норма	3
		Продукция (проекты), бумажные носители информации	Окна, открытые двери	Фотоаппараты, видеокамеры	Норма	3
			Дефекты стен (дыры, трещины)	Рентгеновое оборудование, фотоаппараты, видеокамеры	Норма	3
3	Радиоэлектронный	АРМ руководителя	Периметр помещения (стены, окна, двери, пол)	Радиоэлектронные приёмники	Норма	3
			Сети электропитания и заземления		Норма	3
			Оптоволоконные кабели		Норма	3
4	Материально-вещественный	Продукция (проекты), бумажные носители информации	Хищение носителей информации	Посторонний человек	Норма	3
		АРМ руководителя	Хищение или порча оборудования	Посторонний человек	Норма	3

Размещено на Allbest.ur