Разработка системы технической защиты средств обработки, хранения и передачи информации в ООО "Технология защиты"

Размещено на http://www.allbest.ru/

Введение

Информация играет важную роль в обеспечении всех сторон жизнедеятельности общества и особо важная информация всегда подлежала защите от разглашения.

Анализ состояния ситуации в области защиты информации показывает, что в промышленно развитых странах мира существует вполне сложившаяся система защиты информации (ЗИ) в устройствах обработки данных. И, тем не менее, угрозы средствам и методам защиты информации не только не уменьшаются, но и достаточно интенсивно возрастают.

Развитие новых информационных технологий сопровождается такими негативными явлениями, как промышленный шпионаж, компьютерные преступления и несанкционированный доступ (НСД) к конфиденциальной информации. Возникли новые понятия «кибертерроризм», «информационная война» и т.п. Поэтому защита информации является важнейшей государственной задачей в любом государстве. Острая необходимость в защите информации в России нашла выражение в создании Государственной системы защиты информации (ГСЗИ) и в развитии правовой базы информационной безопасности.

Защита информации должна обеспечивать предотвращение ущерба в результате утери (хищения, утраты, искажения, подделки) информации в любом ее виде. Организация мер защиты информации должна проводиться в полном соответствии с действующими законами и нормативными документами по безопасности информации, интересами пользователей информации. Чтобы гарантировать высокую степень защиты информации, необходимо постоянно решать сложные научно-технические задачи разработки и совершенствования средств ее защиты.

Большинство современных предприятий независимо от вида деятельности и форм собственности не может успешно вести хозяйственную и иную деятельность без обеспечения системы защиты своей информации, включающей организационно-нормативные меры и технические средства контроля безопасности информации при ее обработке, хранении и передаче в автоматизированных системах. Согласно утверждениям зарубежных источников, в случае, когда 10-20% коммерческой информации попадает к конкурентам, это чаще всего приводит к банкротству фирмы.

Одним из важных средств добывания информации является техническая разведка, проводимая с помощью разнообразных специальных технических устройств. Вид применяемых технических средств разведки зависит, прежде всего, от физической природы и особенностей демаскирующих признаков объектов, являющихся источниками информации.

Источниками информации для технической разведки являются:

физические поля, возникающие в результате функционирования объектов разведки;

производственные отходы и химические выбросы объектов разведки;

видовые и конструктивные особенности объектов разведки.

Формы представления информации зависят от ее характера и физических носителей, на которых она представлена. Основными формами информации, подлежащими защите, являются:

документальные;

акустические;

телекоммуникационные;

видовые [36, с. 85].

В последние годы большое внимание уделяется защите коммерческой и секретной информации, обрабатываемой с помощью вычислительной техники.

Актуальность дипломного проекта заключается в том, что на сегодняшний день в ООО «Технология защиты» циркулируют сведения различной степени секретности, но не реализован комплекс мер по организации технической защиты обрабатываемой информации.

Объектом дипломного проектирования является ООО «Технология защиты» (Общество).

Предметом дипломного проектирования является система технической защиты средств обработки, хранения и передачи информации в ООО «Технология защиты».

Целью данного дипломного проекта является разработка системы технической защиты средств обработки, хранения и передачи информации в ООО «Технология защиты».

Для выполнения поставленной цели, необходимо выполнение ряда задач:

анализ объекта исследования на предмет утечки информации по техническим каналам;

определение способов защиты информации от выявленных технических каналов утечки в Обществе;

обоснование состава средств защиты информации;

оценка эффективности мероприятий по защите информации.

1. АНАЛИЗ ПРОЦЕССА ТЕХНИЧЕСКОЙ ЗАЩИТЫ СРЕДСТВ ОБРАБОТКИ, ХРАНЕНИЯ И ПЕРЕДАЧИ ИНФОРМАЦИИ

1.1 Актуальность и важность технической защиты информации

Информация - основа жизни и деятельности человека и общества. Чем дальше продвигается наука в изучении человека, тем сложнее становится его информационная модель. Каждая клеточка нашего тела связана информационными потоками с другими его клетками и с окружающей средой. Знание глубинных информационных процессов в человеке несет большое благо и огромную угрозу. Благо, потому что возрастают возможности улучшения качества жизни человека. Но эти же возможности имеют оборотную сторону - управление человеком даже вопреки его желанию.

Традиционно считается, что когда прекращается литься кровь, наступает мир. Но в наше время такое мнение - иллюзия. Войны идут постоянно. Эти войны называются информационными. Нет нужды разрушать экологию и материальные ценности, физически уничтожать людей, когда можно, управляя человеком через информационные каналы, подчинить его себе таким образом, что это подчинение он воспримет как благо. Опасность этого оружия не только в его в массовых поражающих факторах, но и в том, что большинство людей даже не осознают факты его применения. Когда потребитель покупает в магазине товар, реклама которого постоянно мелькает на экране телевизора, то выбор часто делается не им, хотя он уверен в обратном [15, с. 239].

Как в любой войне, имеются нападающие и обороняющие стороны. Оборона имеет два аспекта - защита от информационного воздействия и защита собственной информации. Защита собственной информации часто имеет решающее значение для исхода противостояния.

В рыночных условиях информация, кроме того, представляет товар, цена которого может существенно превышать цену самых дорогих образцов продукции. Защита ее от изменения, уничтожения и кражи представляет собой все более сложную проблему. Сложность ее обусловлена, прежде всего, тем, что в условиях рынка и информационной открытости размывается граница между свободно распространяемой и закрытой информацией. Даже предприятия, выпускающие новейшую военную технику, вынуждены по законам рынка ее рекламировать, приоткрывая тем самым завесу секретности.

Следовательно, защита информации представляет собой многоцелевую проблему, часть которой еще даже не имеет четкой постановки. Наиболее разработаны вопросы защиты информации, содержащей государственную, коммерческую и прочие тайны [39, с. 171].

Среди ее направлений выделяют организационно-правовую, программно-аппаратную и инженерно-техническую защиту информации. Организационно-правовая защита информации осуществляется путем выполнения требований и рекомендаций правовых документов. Программно-аппаратная защита занимается обеспечением средств вычислительной техники и автоматизированных систем от несанкционированного доступа и криптографической защитой циркулирующей в них информации. Защиту информации с помощью инженерных конструкций и технических средств обеспечивает инженерно-техническая защита информации.

Инженерно-техническая защита информации объективно приобретает все больший вес. Такая тенденция обусловлена следующими причинами:

развитием методов и средств добывания информации, позволяющих несанкционированно получать все больший объем информации на безопасном расстоянии от ее источников;

огромными достижениями микроэлектроники, способствующими созданию технической базы для массового изготовления доступных рядовому покупателю средств нелегального добывания информации. Доступность миниатюрных и камуфлированных технических средств добывания информации превращает задачу нелегального добывания информации из уникальной и рискованной операции в прибыльный бизнес, что увеличивает число любителей легкой наживы противозаконными действиями;

оснащением служебных и жилых помещений, а также в последнее время автомобилей, разнообразной электро- и радиоэлектронной аппаратурой, физические процессы в которой способствуют случайной неконтролируемой передаче (утечке) конфиденциальной информации из помещений и автомобилей [36, с. 343].

Очевидно, что эффективная защита информации с учетом этих тенденций возможна при более широком использовании технических средств защиты, что делает актуальным и важным защиту информации от утечки по техническим каналам.

Угрозы безопасности информации - состояния и действия субъектов и материальных объектов, которые могут привести к изменению, уничтожению и хищению информации. Угрозы бывают преднамеренные и случайные.

К случайным относятся ошибки оператора, сбои технических средств обработки, передачи, хранения информации, технического персонала, случайные силы, стихийные бедствия.

К преднамеренным относят действие со стороны злоумышленника, т.е. хищение, искажение, уничтожение информации. Действия злоумышленника будут направлены на следующие технические каналы утечки информации:

оптические;

акустические (включая виброакустические, акустоэлектрические);

радиоэлектронные (включая магнитные и электрические);

материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного рода).

Носителем информации в оптическом канале является электромагнитное поле (фотоны) в диапазоне 0,46-0,76 мкм (видимый свет) и 0,76-13 мкм (инфракрасные излучения).

В радиоэлектронном канале утечки информации в качестве носителей используются электрические, магнитные и электромагнитные поля в радиодиапазоне, а также электрический ток (поток электронов), распространяющийся по металлическим проводам. Диапазон колебаний носителя этого вида чрезвычайно велик: от звукового диапазона до десятков ГГц.

В соответствии с видами носителей информации радиоэлектронный канал целесообразно разделить на 2 подвида: электромагнитный канал, носителями информации в котором являются электрическое, магнитное и электромагнитное поля, и электрический канал, носитель информации в котором - электрический ток.

Носителями информации в акустическом канале являются упругие акустические волны в инфразвуковом (менее 16 Гц), звуковом (16 Гц-20 кГц) и ультразвуковом (свыше 20 кГц) диапазонах частот, распространяющиеся в атмосфере, воде и твердой среде.

В вещественном канале утечка информации производится путем несанкционированного распространения носителей с защищаемой информацией в виде вещества, прежде всего выбрасываемых черновиков документов и использованной копировальной бумаги, забракованных деталей и узлов, демаскирующих веществ и др. Демаскирующие вещества в виде твердых, жидких и газообразных отходов или промежуточных продуктов позволяют определить состав, структуру и свойства новых материалов или восстановить технологию их получения. К утечке по этому каналу отнесено несанкционированное распространение продуктов распада радиоактивных веществ, обнаружение и распознавание которых злоумышленником обеспечивают возможность определения наличия и признаков радиоактивных веществ.

Когда речь идет о распространении за пределы организации отходов производства, следует отличать технический канал утечки от агентурного, в рамках которого вынос носителя с информацией производится проникшим к источнику злоумышленником, завербованным сотрудником организации или сотрудником, стремящимся продать информации любому ее покупателю. Граница между агентурным и каналом утечки достаточно условна, однако при утечке информации в агентурном канале переносчиком информации является лицо, сознающее противоправные действия, а в техническом вещественном канале носители вывозятся из организации с целью освобождения ее от отходов или отходы распространяются в результате действия природных сил. В качестве таких сил могут быть воздушные потоки, разносящие выбрасываемые трубами газообразные отходы, или водные потоки рек или водоемов, куда сбрасываются недостаточно очищенные жидкие или взвешенные в воде твердые частицы демаскирующих веществ.

Каждый из технических каналов имеет свои особенности, которые необходимо знать и учитывать для обеспечения эффективной защиты информации от ее утечки.

Технический канал утечки информации, состоящий из передатчика, среды распространения и приемника, является простым или одноканальным.

Однако возможны варианты, когда утечка информации происходит более сложным путем - по нескольким последовательным или параллельным каналам. В этом случае канал можно назвать, составным. При этом используется свойство информации переписываться с одного носителя на другой. Например, если в кабинете ведется конфиденциальный разговор, то утечка возможна не только по акустическому каналу через стены, двери, окна, но и по оптическому - путем съема информации лазерным лучом со стекла окна или по радиоэлектронному с использованием установленной в кабинете радиозакладки. В двух последних вариантах образуется составной канал, образованный из последовательно соединенных акустического и оптического (на лазерном луче) или акустического и радиоэлектронного (радиозакладка - среда распространения - радиоприемник) каналов. Такие каналы корректно назвать акусто-оптическим и акусто-радиоэлектронным соответственно. Для повышения дальности канала утечки может также использоваться ретранслятор, совмещающий функции приемника одного канала утечки информации и передатчика следующего канала. Например, для повышения дальности подслушивания с использованием радиозакладки можно разместить ретранслятор слабого сигнала закладного устройства в портфеле, сдаваемый якобы на хранение в камеру хранения закрытого предприятия, а принимать и регистрировать более мощный сигнал ретранслятора на удалении в несколько километров в безопасном месте. Такой составной канал называется акусто-радиоэлектронный. По частоте проявления каналы делятся на постоянные и эпизодические. В постоянном канале утечка информации носит достаточно регулярный характер. Например, наличие в кабинете источника опасного сигнала может привести к передаче из кабинета речевой информации до момента обнаружения этого источника. Регулярность получения информации через такой канал делает его весьма ценным. Поэтому разведка дорожит регулярным источником информации и защищает его от контрразведки. К эпизодическим каналам относятся каналы, утечка информации в которых имеет кратковременный, часто случайный характер.

По способу создания каналы утечки могут быть специально организованные и случайные. Организованные каналы создаются злоумышленником для регулярного добывания информации. Например, для подслушивания на большом расстоянии от источника речевой информации организуется канал утечки из помещения путем размещения в нем закладного устройства. Характеристики (частота излучения, вид модуляции, мощность передатчика и др.) этого канала известны злоумышленнику. Эти знания позволяют ему непрерывно или в определенное время прослушивать все разговоры, ведущиеся в помещении.

Побочные электромагнитные излучения и наводки создают предпосылки для образования случайных каналов утечки информации, параметры которых априори злоумышленнику не известны. Если ему удастся настроить свой приемник на частоту побочного излучения, то возникает случайный канал утечки информации. Такой канал может быть весьма информативным, но случайный характер его образования и времени работы (когда включено излучающее техническое средство) снижает его полезность для злоумышленника.

По техническому каналу утечки информация может передаваться не только в открытом виде, она может быть и закрытой. С целью повышения скрытности сигнал на выходе перспективных закладных устройств закрывается, а канал утечки, использующий эти устройства, является технически закрытым. При перехвате функциональных каналов связи, по которым передается шифрованная информация, образуется шифрованный канал утечки информации.

Возможности передачи информации по техническим каналам зависит от многих факторов: энергии сигнала, степени его ослабления в среде распространения, чувствительности и разрешающей способности приемника злоумышленника, уровня помех в канале и др. [36, с. 78].

1.2 Анализ деятельности по защите

К настоящему времени в ведущих странах мира сложилась достаточно четко очерченная система концептуальных взглядов на проблемы обеспечения информационной безопасности. Тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Понимая это, большинство руководителей предприятий и организаций принимают меры по защите важной для них информации.

Для решения задач защиты информации на предприятии создается система защиты информации (СЗИ) [15, с. 172].

СЗИ предприятия есть совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации предприятия.

Главной целью СЗИ является обеспечение непрерывности бизнеса, устойчивого функционирования коммерческого предприятия и предотвращения угроз его безопасности.

СЗИ направлена:

на защиту законных интересов организации от противоправных посягательств;

охрану жизни и здоровья персонала;

недопущение хищения финансовых и материально-технических средств; уничтожения имущества и ценностей; разглашения, утечки и несанкционированного доступа к служебной информации; нарушения работы технических средств обеспечения производственной деятельности, включая информационные технологии.

Исходя из целей СЗИ, можно определить стоящие перед ней задачи. К ним относятся:

прогнозирование, своевременное выявление и устранение угроз безопасности персоналу и ресурсам коммерческого предприятия, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

отнесение информации к категории ограниченного доступа (служебной и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов - к различным уровням уязвимости (опасности), подлежащих сохранению;

создание механизма и условий оперативного реагирования на угрозы безопасности проявления негативных тенденций в функционировании предприятия;

эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;

создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности предприятия.

Можно выделить три направления работ по созданию СЗИ:

методическое, в рамках которого создаются методологические компоненты СЗИ, разрабатывается замысел ее построения, прорабатываются правовые вопросы;

организационное, в ходе которого разрабатываются распорядительные документы, проводится обучение и инструктаж персонала и т.п.;

техническое, заключающееся в выборе, закупке и инсталляции программных, программно-аппаратных и аппаратных средств защиты информации.

Для эффективного обеспечения безопасности информации требуется создание развитого методологического аппарата, позволяющего решить следующие комплексные задачи:

создать систему органов, ответственных за безопасность информации;

разработать теоретико-методологические основы обеспечения безопасности информации;

решить проблему управления защитой информации и ее ав-томатизации;

создать нормативно-правовую базу, регламентирующую решение всех задач обеспечения безопасности информации;

наладить производство средств защиты информации;

организовать подготовку специалистов по защите информации;

подготовить нормативно-методологическую базу для проведения работ по обеспечению безопасности информации [15, с. 62].

Особого внимания требует проработка правовых вопросов обеспечения безопасности информации. Необходимо проанализировать всю совокупность законодательных актов, нормативно-правовых документов, требования которых обязательны в рамках сферы деятельности по защите информации. Предметом правового регулирования является правовой режим информации (степень конфиденциальности, собственность, средства и формы защиты информации, которые можно использовать), правовой статус участников информационного взаимодействия, порядок отношения субъектов с учетом их правового статуса.

Организационное мероприятие - это мероприятие по защите информации, проведение которого не требует применения специально разработанных технических средств [43, с. 348].

Организационное обеспечение заключается в регламентации взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к информации становится невозможным или будет существенно затруднен за счет проведения организационных мероприятий.

К основным организационным и режимным мероприятиям относятся:

привлечение к проведению работ по защите информации организаций, имеющих лицензию на деятельность в области защиты информации, выданную соответствующими органами;

категорирование и аттестация объектов технических средств передачи информации (ТСПИ) и выделенных для проведения закрытых мероприятий помещений (далее выделенных помещений) по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;

использование на объекте сертифицированных ТСПИ и вспомогательных технических средств и систем (ВТСС);

установление контролируемой зоны вокруг объекта;

привлечение к работам по строительству, реконструкции объектов ТСПИ, монтажу аппаратуры организаций, имеющих лицензию на деятельность в области защиты информации по соответствующим пунктам;

организация контроля и ограничение доступа на объекты ТСПИ и в выделенные помещения;

введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;

отключение на период закрытых мероприятий технических средств, имеющих элементы, выполняющие роль электроакустических преобразователей, от линий связи и т.д.

Техническое мероприятие - это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений [32, с. 43].

Технические мероприятия направлены на закрытие каналов утечки информации путем ослабления уровня информационных сигналов или уменьшением отношения сигнал/шум в местах возможного размещения портативных средств разведки или их датчиков до величин, обеспечивающих невозможность выделения информационного сигнала средством разведки, и проводятся с использованием активных и пассивных средств.

К техническим мероприятиям с использованием пассивных средств относятся:

контроль и ограничение доступа на объекты ТСПИ и в выделенные помещения;

установка на объектах ТСПИ и в выделенных помещениях технических средств и систем ограничения и контроля доступа;

локализация излучений:

экранирование ТСПИ и их соединительных линий;

заземление ТСПИ и экранов их соединительных линий;

звукоизоляция выделенных помещений.

развязывание информационных сигналов:

установка специальных средств защиты во вспомогательных технических средствах и системах, обладающих «микрофонным эффектом» и имеющих выход за пределы контролируемой зоны;

установка специальных диэлектрических вставок в оплетки кабелей электропитания, труб систем отопления, водоснабжения и канализации, имеющих выход за пределы контролируемой зоны;

установка автономных или стабилизированных источников электропитания ТСПИ;

установка устройств гарантированного питания ТСПИ;

установка в цепях электропитания ТСПИ, а также в линиях осветительной и розеточной сетей выделенных помещений помехоподавляющих фильтров типа ФП.

К техническим мероприятиям с использованием активных средств относятся:

пространственное зашумление:

пространственное электромагнитное зашумление с использованием генераторов шума или создание прицельных помех (при обнаружении и определении частоты излучения закладного устройства или побочных электромагнитных излучений ТСПИ) с использованием средств создания прицельных помех;

создание акустических и вибрационных помех с использованием генераторов акустического шума;

подавление диктофонов в режиме записи с использованием подавителей диктофонов.

линейное зашумление:

линейное зашумление линий электропитания;

линейное зашумление посторонних проводников и соединительных линий ВТСС, имеющих выход за пределы контролируемой зоны.

уничтожение закладных устройств:

уничтожение закладных устройств, подключенных к линии, с использованием специальных генераторов импульсов (выжигателей «жучков»).

Выявление портативных электронных устройств перехвата информации (закладных устройств) осуществляется проведением специальных обследований, а также специальных проверок объектов ТСПИ и выделенных помещений

Специальные обследования объектов ТСПИ и выделенных помещений проводятся путем их визуального осмотра без применения технических средств.

Специальная проверка проводится с использованием технических средств. При этом осуществляется:

выявление закладных устройств с использованием пассивных средств:

установка в выделенных помещениях средств и систем обнаружения лазерного облучения (подсветки) оконных стекол;

установка в выделенных помещениях стационарных обнаружителей диктофонов;

поиск закладных устройств с использованием индикаторов поля, интерсепторов, частотомеров, сканерных приемников и программно-аппаратных комплексов контроля;

организация радиоконтроля (постоянно или на время проведения конфиденциальных мероприятий) и побочных электромагнитных излучений ТСПИ.

выявление закладных устройств с использованием активных средств:

специальная проверка выделенных помещений с использованием нелинейных локаторов;

специальная проверка выделенных помещений, ТСПИ и вспомогательных технических средств с использованием рентгеновских комплексов [15, с. 127].

1.3 Анализ нормативных документов в области защиты информации

Создание системы защиты информации на предприятии, где обрабатываются сведения той или иной важности и секретности, должно проводиться в соответствии с существующим законодательством и соответствовать требованиями нормативных документов в области защиты информации.

К числу базовых документов по защите информации относится, в первую очередь, Конституция РФ. в ст. 23 установлено право на неприкосновенность личной жизни, личной и семейной тайны, тайны телефонных переговоров, почтовых, и иных сообщений. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

27 июля 2006 года Президент РФ подписал два важнейших для сферы документационного обеспечения управления (делопроизводства) федеральных закона: № 149 - ФЗ «Об информации, информационных технологиях и о защите информации» и № 152-ФЗ «О персональных данных».

10 января 2002 года Президентом был подписан закон «Об электронной цифровой подписи», развивающий и конкретизирующий положения приведенного выше закона № 149.

Основными также являются законы РФ: «О государственной тайне» от 22 июля 2004 г.; «О коммерческой тайне» от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну); «Об утверждении Перечня сведений конфиденциального характера»; «Об утверждении Перечня сведений, отнесенных к государственной тайне»; «Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну». Ряд подзаконных правовых нормативных актов, регламентируют организацию защиты государственной тайны, ведение секретного делопроизводства, порядок допуска к государственной тайне должностных лиц и граждан РФ: «Об утверждении положения о лицензировании деятельности по технической защите конфиденциальной информации» и др.

Ряд вопросов, связанных с защитой конфиденциальной информации, регулируется Уголовно-процессуальным кодексом РФ, в нем имеются положения, касающиеся тайны переписки, телефонных и иных переговоров, почтовых отправлений, телефонных и иных сообщений.

Нормы регулирования отношений, возникающих при обращении конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам.

Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:

Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам.

К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.

Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ.

Весьма продвинутым в плане информационной безопасности является Уголовный кодекс РФ. Он содержит ряд положений, относящихся к защите информации ограниченного доступа и ответственности за ее неправомерное использование.

Особым видом ответственности за нарушение коммерческой тайны является лишение соответствующей аттестации, лицензии уполномоченным органом. Но привлечение к данному виду ответственности в целом не получило к настоящему времени широкое распространение.

Правовые нормы, регулирующие использование конфиденциальной информации в судебных разбирательствах - эти нормы, в частности, установлены в Гражданско-процессуальном кодексе РФ.

Основные требования, предъявляемые к порядку обращения с конфиденциальной информацией в государственных и коммерческих структурах, содержатся также в ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

Можно сказать, что законодательные акты РФ не регламентируют в полной мере порядок учета, хранения и использования документов, содержащих конфиденциальную информацию.

Вместе с тем, в некоторых законах содержатся отдельные положения, определяющие общие принципы учета, хранения и использования документов, содержащих конфиденциальные сведения.

1.4 Порядок создания системы технической защиты информации

Защита информации должна осуществляться посредством выполнения комплекса мероприятий и применением (при необходимости) средств ЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств [24, с. 181].

Материалы по нормам, методам и этапам создания системы технической защиты государственной тайны имеют статус секретности, и, поэтому в данном дипломном проекте не будут рассматриваться.

Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации на руководителей подразделений по защите информации (служб безопасности) учреждения (предприятия).

Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) системы защиты информации (СЗИ) объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.

Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по защите информации» и должна предусматривать:

порядок определения защищаемой информации;

порядок разработки, ввода в действие и эксплуатацию объектов информатизации;

ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ [27, с. 38].

В учреждении (на предприятии) должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

Устанавливаются следующие стадии создания системы защиты информации:

предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;

стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;

стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

На предпроектной стадии по обследованию объекта информатизации:

устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;

определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;

определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;

определяются условия расположения объектов информатизации относительно границ контролируемой зоны (КЗ);

определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

определяются технические средства и системы, предполагаемые к использованию в разрабатываемой автоматизированной системе (АС) и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;

определяются режимы обработки информации в АС в целом и в отдельных компонентах;

определяется класс защищенности АС;

определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;

определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации [26, с. 413].

По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.

На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации, в т.ч. настоящего документа, с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

разработка раздела технического проекта на объект информатизации в части защиты информации;

строительно-монтажные работы в соответствии с проектной документацией, размещением и монтажом технических средств и систем;

разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;

закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;

разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;

организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;

определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;

выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;

разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации [18, с. 223].

На стадии проектирования и создания объекта информатизации оформляются также технический проект и эксплуатационная документация СЗИ.

На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

аттестация объекта информатизации по требованиям безопасности информации.

На этой стадии оформляются:

акты внедрения средств защиты информации по результатам их испытаний;

предъявительский акт к проведению аттестационных испытаний;

заключение по результатам аттестационных испытаний [1, с. 153].

С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия).

При необходимости по решению руководителя предприятия в ЗП и в местах размещения средств обработки информации могут проводиться работы по обнаружению и изъятию «закладок», предназначенных для скрытого перехвата защищаемой информации.

Такие работы могут проводиться организациями, имеющими соответствующие лицензии ФСТЭК России на данный вид деятельности [15, с. 323].

2. АНАЛИЗ СОСТОЯНИЯ ТЕХНИЧЕСКОЙ ЗАЩИТЫ СРЕДСТВ ОБРАБОТКИ, ХРАНЕНИЯ И ПЕРЕДАЧИ ИНФОРМАЦИИ В ООО «ТЕХНОЛОГИЯ ЗАЩИТЫ»

2.1 Анализ деятельности ООО «Технология защиты»

ООО «Технология защиты» - это коммерческая компания, которая предоставляет целый спектр услуг в области защиты информации.

Основными направлениями деятельности ООО «Технология защиты» являются:

создание и обслуживание электронной цифровой подписи;

создание шифрованного канала между абонентами сети;

организация защиты конфиденциальной информации;

управление информационной безопасностью;

аттестация объектов вычислительной техники на соответствие требованиям по безопасности.

В профиль деятельности компаний ООО «Технология защиты» входят услуги по комплексному решению вопросов, связанных с организацией защиты конфиденциальной информации (Указ Президента РФ от 6 марта 1997 года №188) на предприятии. В пакет услуг входит:

подготовка и ведение организационно-распорядительных документов по вопросам защиты конфиденциальной информации в соответствии с требованиями нормативно-методических документов;

модель угроз безопасности персональных данных в информационно системе персональных данных;

техническое задание на создание системы защиты персональных данных;

установка и настройка технических средств защиты информации;

аутсорсинг в области технической защиты конфиденциальной информации.

Высшим органом управления общества является его единственный участник (Учредитель).

К исключительной компетенции Учредителя относится:

определение основных направлений деятельности организации;

изменение устава, в том числе изменение уставного капитала;

утверждение годовых отчетов и балансов организации;

решение о реорганизации и ликвидации организации;

принятие решения о распределении чистой прибыли организации;

утверждение документов, регулирующих внутреннюю деятельность организации;

решение иных вопросов предусмотренных Федеральным законом и Уставом организации.

Управление в организации осуществляет директор. Он подотчетен учредителю организации и контролируется таковым. Директор организации:

действует от имени организации, представляет его интересы и совершает сделки;

выдает доверенности на право представительства от имени организации;

издает приказы о назначении на должности работников организации, об их переводе, применяет меры поощрения и налагает дисциплинарные взыскания.

В ООО «Технология защиты» четыре отдела, а именно:

Отдел технической защиты.

Отдел криптографической защиты.

Первый отдел.

Коммерческий отдел.

Организационная структура Общества представлена на рисунке 1.



Рисунок 1 - Организационная структура ООО «Технология защиты»

ООО «Технология защиты» находится в двухэтажном здании по адресу: г. Оренбург, ул.Терешковой, д.281/1. Общество занимает подвал и первый этаж здания. В подвале находится лаборатория для специальных исследований. В первом этаже 6 кабинетов, которые заняты структурными подразделениями Общества. Имеется 7 окон, на 5 из них установлены жалюзи.

План помещения занимаемая ООО «Технология защиты» представлен в приложении А.

2.2 Анализ информационных потоков

Основным направлением деятельности ООО «Технология защиты» является оказание услуг в области защиты информации.

Для выполнения поставленных задач Общество создает, получает и обрабатывает большое количество информации.

Основными задачами ООО «Технология защиты» являются:

техническая защита информации;

организационная защита информации;

криптографическая защита информации.

В информационных потоках Общества присутствует информация принадлежащая:

государственной тайне;

конфиденциальной информации (см. Табл. 1).

Информационный поток - информация, рассматриваемая в процессе ее движения в пространстве и времени в определенном направлении.

Таблица 1 - Перечень сведений, составляющих конфиденциальную информацию

№ элемента информации	Перечень сведений
1	2
Сведения в области защиты КИ
1	Сведения, раскрывающие организацию системы защиты конфиденциальной информации (общее описание, структура и режим функционирования), в том числе, в части применяемых средств защиты информации при передаче конфиденциальной информации по открытым телекоммуникационным каналам связи.
2	Сведения, содержащие описание структуры локальной вычислительной сети и полномочий пользователей, обрабатывающих конфиденциальную информацию.
3	Сведения о ключах, кодах, паролях и идентификаторах пользователей осуществляющих обработку конфиденциальную информацию.
4	Сведения об организации и технических решениях по системе охраны (система контроля доступа) производственных помещений.
5	Документация, содержащая сведения по защите конфиденциальной информации:
5.1	Технические (частные технические) задания на разработку системы (подсистемы) защиты конфиденциальной информации или ее компонент.
5.2	Концепции, типовые технические решения, руководства, инструкции, положения, методические указания по защите конфиденциальной информации.
5.3	Система и матрица разграничения доступа пользователей к конфиденциальной информации (для каждого конкретного объекта информатизации).
5.4	Технические предложения, эскизные, технические и рабочие проекты по защите конфиденциальной информации.
5.5	Описание модели возможного нарушителя в автоматизированной системе, обрабатывающей конфиденциальную информацию.
5.6	Описание технологического процесса функционирования. Программы и методики испытаний, технические паспорта на объекты информатизации, заключения по результатам аттестационных испытаний и аттестаты на объекты информатизации по требованиям безопасности информации.
6	Сводные сведения о потребностях, поставках средств защиты и программно-технических комплексов, предназначенных для обработки КИ по организации в целом.
7	Сведения о порядке передачи конфиденциальной информации другим организациям.
8	Сведения о фактах ведения переговоров, предметах и целях совещаний и заседаний по защите конфиденциальной информации и сторонних участников. Итоговые протоколы (решения).
9	Сведения, полученные при выполнении совместных работ с другими организациями, содержащие конфиденциальную информацию этих организаций.
Сведения по средствам криптографической защиты информации
10	Сведения о закрытом ключе уполномоченного лица удостоверяющего центра.
11	Сведения о закрытом ключе владельца сертификата открытого ключа подписи.
13	Персональная и корпоративная информация пользователей, содержащаяся в Удостоверяющем центре, за исключением информации, используемой для идентификации владельцев сертификатов открытых ключей и заносимой в изготавливаемые сертификаты.
14	Журналы аудита Удостоверяющего центра, материалы по разбору конфликтных ситуаций.
15	Базы данных центров сертификации, центра регистрации и администратора Удостоверяющего центра.
16	Сводная документация на средства криптографической защиты информации на объектах информатизации.
17	Отчетные материалы по проверке деятельности Удостоверяющего центра.
18	Материалы архивного фонда на средства криптографической защиты информации.
Сведения в области персональных данных
19	Персональные данные о сотрудниках (ст.3. п.1 №152 - ФЗ «О персональных данных»)
Сведения в области бухгалтерского учета
20	Содержание внутренне бухгалтерской отчетности (ст. 10 ФЗ №129 «О бухгалтерском учете»)
Сведения составляющие коммерческую тайну
21	Сведения, содержащие списки клиентуры, покупателей, представителей и посредников, данные о поставщиках и потребителях, коммерческие связи.
22	Условия по сделкам и соглашениям, условия контрактов.
23	Сведения об элементах и расчетах цен, структура цены и продажной калькуляции, затраты.
24	Данные о предполагаемом конкурсе или торгах до их опубликования. Материалы и приложения к предложениям на публичных торгах.

Информационные потоки в ООО «Технология защиты» являются смешенным, т.е. часть информации находится на бумажных носителях, а часть в виде электронных баз данных (см. Табл. 2).

Таблица 2 - Электронные базы данных, использующиеся в ООО «Технология защиты»

Наименование электронных баз данных
«Клиенты 2.1»
«Удостоверяющий центр»
«1С: Бухгалтерия»
«1С: Зарплата и кадры»

Базы данных формируются на основе полученных данных от клиентов (физические и юридические лица) и сотрудников ООО «Технология защиты».

Клиенты обращаются в ООО «Технология защиты» с целью получения услуг в области защиты информации. В зависимости от необходимой услуги, их обслуживает либо отдел криптографической защиты, либо технической защиты. Заключением договоров на оказание той или иной услуги занимается коммерческий отдел, но по причине маленького штата сотрудников, данными делами занимаются и отделы криптографической и технической защиты. Реквизиты юридических лиц, персональные данные их руководителей, иногда и некоторых сотрудников, а так же персональные данные физических лиц вбиваются в базу данных «Клиенты 2.1», а так же в базу данных «Удостоверяющий центр» если услугой по защите информации является получение электронной подписи.

Договора подготавливаются в двух экземплярах. Затем, после утверждения директором ООО «Технология защиты», договора либо непосредственно клиенты лично забирают, либо отправляются по почте. После утверждения клиентом, один экземпляр договора ООО «Технология защиты» получает по почте, либо непосредственно от самих клиентов. Затем в базу данных «1С: Бухгалтерия» главным бухгалтером добавляются соответствующие сведения о клиенте.

После подписания договора обеими сторонами, соответствующие отделы ООО «Технология защиты» приступают к оказанию той или иной услуги в области защиты информации. После оказания услуги Обществом, главный бухгалтер подготавливает бухгалтерские документы на оплату услуги, которые в свою очередь почтой передаются клиенту. После оплаты клиентом, подписанные бухгалтерские документы возвращаются Обществу. Затем обеими сторонами утверждается акт оказанных услуг, подписав который, клиент соглашается с выполнением всех услуг в полном объеме.

Информационные потоки в ООО «Технология защиты», которые протекают во время оказания услуг в области защиты информации, представлены на рисунке 2.

Рисунок 2 - Информационные потоки во время оказания услуг

С помощью Службы специальной связи и информации Федеральной службы охраны Российской Федерации или Государственной фельдъегерской службы Российской Федерации сторонние государственные или частные предприятия, имеющие режимно-секретное подразделение, периодически присылают в первый отдел на бумажных носителях сведения, составляющие государственную тайну.

По распоряжению директора ООО «Технология защиты» первый отдел подготавливает приказы и распоряжения, который доводятся до всех сотрудников Общества.

Информационные потоки, связанные с первым отделом, представлены на рисунке 3.

Рисунок 3 - Информационные потоки, связанные с первым отделом

Так же в ООО «Технология защиты» обмен информацией ведется между сотрудниками и главным бухгалтером. Документы, поступающие от сотрудников к главному бухгалтеру, заносятся в базу данных «1С: Предприятие».

База данных «1С: Предприятие» ведет учет сотрудников, а также создает карточку для бумажного дела сотрудника. После увольнения данные о сотруднике удаляются из базы, а бумажное дело передается в архив и хранится согласно закону об архивном деле.

После обработки документов главный бухгалтер формирует отчеты, которые передает директору для выдачи заработной платы сотрудникам, в Пенсионные и Налоговые органы. Передача информации в Пенсионные и Налоговые органы проходит по открытым каналам связи в зашифрованном виде с помощью программного обеспечения КриптоПро CSP.

Потоки информации, связанные с бухгалтерским учетом, представлены на рисунке 4.

Рисунок 4 - Информационные потоки, связанные с бухгалтерским учетом