Разработка системы технической защиты средств обработки, хранения и передачи информации в ООО "Технология защиты"
Актуальность и важность технической защиты информации, нормативные документы. Анализ деятельности ООО "Технология защиты", информационные потоки. Обоснование угроз по техническим каналам. Разработка системы управления информационной безопасности.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 13.06.2012 |
Размер файла | 771,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
В ООО «Технология защиты», большое количество информационных потоков, в которых циркулирует информация различного рода, начиная конфиденциальной информацией и заканчивая государственной тайной различной степени секретности.
2.3 Анализ средств обработки, хранения и передачи информации
В государственном стандарте № 15971-90 «Системы обработки информации. Термины и определения» дается следующие определения:
обработка информации - систематическое выполнение операций над данными, представляющими предназначенную для обработки информацию;
системой обработки информации - совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, обеспечивающая выполнение автоматизированной обработки информации;
технические средства системы обработки информации - все оборудование, включая носителя данных, предназначенное для автоматизированной обработки информации;
передача информации - физический процесс, посредством которого осуществляется перемещение информации в пространстве;
хранение информации - процесс передачи информации во времени, связанный с обеспечением неизменности состояний материального носителя информации (бумаги, фотоплёнки, магнитной ленты, перфокарты и т. п.).
Из анализа перечисленных определений можно сделать вывод, что средства обработки, хранения и передачи информации - это совокупность технических средств, предназначенные для автоматизированной обработки информации, а так же перемещения информации в пространстве и времени.
В ООО «Технология защиты» под средствами обработки, хранения и передачи информации понимаются все электронно-вычислительные машины (ЭВМ). Под ЭВМ принято понимать компьютеры.
В Обществе имеется 13 компьютеров («АРМ - 1…13») и один сервер. В распоряжении коммерческого отдела находиться два компьютера, в отделе криптографической защиты 4 компьютера и один сервер, в отделе технической защиты 4 компьютера и один ноутбук, а так же первом отделе один компьютер и у главного бухгалтера один ноутбук. Все ЭВМ объединены в одну локально вычислительную сеть, кроме компьютера первого отдела (см. Приложение Б). На них обрабатывается различного рода информация и различной степени секретности.
Отдел технической защиты предоставляет различного рода услуги в области защиты информации, а именно:
подготовка пакета документов по защите персональных данных (организационно-распорядительные документы, модель угроз, регламент технологического процесса обработки, акт классификации, матрица доступа, техническое задание и эскизный проект на создание единой системы защиты персональных данных);
установка и настройка средств защиты на ЭВМ;
аттестация вычислительной техники с выдачей «Аттестата соответствия объекта информатизации».
Для оказания перечисленных услуг, на ЭВМ отдела технической защиты обрабатывается информация конфиденциального характера. Два компьютера АРМ - 2 и АРМ - 11 имеют «Аттестат соответствия объекта информатизации», т.е. прошли соответствующие проверки на соответствие требованиям нормативной документации по защите информации класса защищенности 2Б.
Непосредственно на компьютерах ведется обработка, хранение и передача конфиденциальной информации. А на ноутбуке конфиденциальная информация не обрабатывается, производиться только подготовка шаблонов документов.
Расположение компьютеров отдела технической защиты представлено в приложении В.
Отдел криптографической защиты предоставляет услуги в области криптографической защиты информации, а именно:
выдача электронной подписи;
создание VPN сетей для безопасного обмена конфиденциальной информацией по средствам продуктовой линейки «ViPNet CUSTOM»;
установка, настройка и обслуживание средств шифрования.
В отделе криптографической защиты имеется 4 компьютера и один сервер. На данных ЭВМ обрабатывается информация конфиденциального характера. Сервер, АРМ - 6 и АРМ - 9 имеют «Аттестат соответствия объекта информатизации», т.е. прошли соответствующие проверки на соответствие требованиям нормативной документации по защите информации класса защищенности 2Б.
На сервере находится база данных «Клиент 2.1», а на «АРМ - 6» - база данных «Удостоверяющий центр». На компьютере с базой данных «Удостоверяющий центр» производиться создание электронных подписей. На остальных 3-х ЭВМ ведется подготовка договоров с клиентами на оказание той или иной услуги в области криптографической защиты, а так же создание новых программных модулей для оптимизации и автоматизации работы Общества в целом.
Расположение всех ЭВМ отдела криптографической защиты представлено приложении Г.
Коммерческий отдел занимается подготовкой договоров на оказание различного рода услуг в области защиты информации, а так же консультацией клиентов обратившихся в ООО «Технология защиты». В распоряжении данного отдела имеются два компьютера. Расположение данных компьютеров представлено в приложении Д.
Первый отдел занимается ведением секретного делопроизводства. В данном отделе присутствует информация различных степеней секретности, начиная от информации конфиденциального характера и заканчивая государственной тайной грифа «особой важности». В распоряжении первого отдела один компьютер. Данная ЭВМ имеет «Аттестат соответствия объекта информатизации», т.е. прошел соответствующие проверки на соответствие требованиям нормативной документации по защите информации класса защищенности 2А. Расположение ЭВМ первого отдела представлено в приложении Е.
Главный бухгалтер занимается ведением бухгалтерского учета. В его распоряжении имеется один ноутбук, который имеет выход в сети общего пользования. Данная ЭВМ не имеет «Аттестата соответствия объекта информатизации». Расположение ноутбука главного бухгалтера представлено в приложении Ж.
2.4 Обоснование угроз по техническим каналам
Технические каналы утечки информации - физический путь от источника информации к злоумышленнику, посредством которого может быть осуществлен несанкционированный доступ к охраняемым сведениям.
Основным классификационным признаком технических каналов утечки информации является физическая природа носителя. По этому признаку они делятся на:
оптические;
радиоэлектронные;
акустические;
материально-вещественные.
В ООО «Технология защиты» имеется 14 ЭВМ, на которых обрабатывается различного рода секретности информация, начиная с информации конфиденциального характера и заканчивая государственной тайной грифа «особой важности». Пять компьютеров имеют «Аттестат соответствия объекта информатизации», т.е. прошли соответствующие проверки на соответствие требованиям нормативной документации по защите информации класса защищенности 2Б. А компьютер, на котором обрабатываются сведения, составляющие государственную тайну, прошел соответствующие проверки на соответствие требованиям нормативной документации по защите информации класса защищенности 2А.
Одним из основных технических каналов утечки информации в ООО «Технология защиты» является оптический, в котором информация добывается путем фотографирования. Это обусловлено тем, что фотоизображение имеет:
самое высокое разрешение даже на большом расстоянии от объекта наблюдения;
самую высокую информационную емкость, обусловленную максимумом демаскирующих признаков, в том числе наличием такого информативного признака как цвет.
Источником оптического сигнала является объект наблюдения, который излучает сигнал или переотражает свет другого, внешнего источника. Отражательная способность зависит от длины волны падающего света или спектральных характеристик поверхности объекта наблюдения.
По диапазону излучения оптические каналы утечки информации могут быть образованы в видимой (а также в отраженном свете), инфракрасной и ультрафиолетовой областях спектра.
Оптическим каналом утечки информации в ООО «Технология защиты» выступает жидкокристаллические (ЖК) мониторы с частотой излучения в 60 Hz; свет от люминесцентных ламп; отражение экрана монитора от глянцевой поверхности шкафа; открытая дверь в помещение. Т.к. посетители могут находиться только в коридоре, поэтому просмотр конфиденциальной информации с мониторов или отражающих поверхностей возможен только с кабинета №6 отдела технической защиты. Вероятность утечки информации при помощи оптического прибора через окно так же большая, т.к. на окнах кабинета №6 жалюзи не установлены. Установка в помещения Общества скрытых камер видеонаблюдения минимальна, т.к. доступ в помещения имеют только сотрудники компании.
В связи с данными каналами утечки возможны следующие угрозы, реализуемые по оптическому каналу:
наблюдение объекта злоумышленником через открытую дверь отдела технической защиты;
наблюдение объекта злоумышленником через окно.
В акустическом канале утечки носителем информации от источника к несанкционированному получателю является акустическая волна в атмосфере, воде и твердой среде.
Образование акустического канала утечки информации вызвано распространением звуковых колебаний в звукопроводящем материале.
В ООО «Технология защиты» ввод информации в ЭВМ и ее обработка не производится голосовыми командами. Утечка информации со средств обработки, хранения и передачи информации по акустическим каналам исключена. Поэтому в анализе акустических каналов нет необходимости.
Утечка информации по материально - вещественному каналу осуществляется по средствам несанкционированного распространения носителей с защищаемой информацией, которые могут быть, прежде всего, выбрасываемыми черновиками документов и использованной копировальной бумаги, забракованных деталей и узлов, демаскирующих веществ и др.
В ООО «Технология защиты» материально - вещественный канал утечки информации полностью локализован, а именно вышедшие из строя магнитные и иные носители информации ЭВМ, на которых во время эксплуатации содержалась информация с ограниченным доступом, уничтожаются механическим способом, путем физического разрушения.
К радиоэлектронным относятся каналы утечки информации, возникающие за счет различного вида побочных электромагнитных излучений и наводок (ПЭМИН) средствами обработки, хранения и передачи информации (СОИ). Побочные электромагнитные излучения и наводки - это паразитные электромагнитные излучения радиодиапазона, создаваемые в окружающем пространстве устройствами, специальным образом для этого не предназначенными [43, с. 342].
Перехват побочных электромагнитных излучений СОИ осуществляется средствами радио-, радиотехнической разведки, размещенными вне контролируемой зоны.
Любой работающий компьютер в ООО «Технология защиты» излучает на всех частотах. Перехватив данные излучения, можно получить какую-либо полезную информацию. Например, содержание документов, с которыми работают сотрудники, если заинтересованному лицу доступно изображение экрана монитора.
В зависимости от физической природы возникновения информационных сигналов, а также среды их распространения и способов перехвата, технические каналы утечки информации (КУИ) по каналам ПЭМИН можно разделить на электромагнитные и электрические.
Сущность электромагнитных каналов утечки информации заключается в том, что информативный сигнал излучается от СОИ и линий передачи.
Сущность электрических каналов утечки информации заключается в том, что информативный сигнал наводиться на провода и линии, в том числе на цепи заземления и электропитания.
В ООО «Технология защиты» имеется 14 ЭВМ, 6 из них имеют «Аттестат соответствия объекта информатизации», т.е. прошли соответствующие проверки на соответствие требованиям нормативной документации по защите информации класса защищенности 2Б и 2А. Аттестованные компьютеры прошли соответствующие проверки, и применены различные технические средства защиты, т.е. возможность утечки конфиденциальной информации и сведений, составляющих государственную тайну, на данных компьютерах по каналу утечки ПЭМИН исключена.
Защита от утечки по каналу ПЭМИН ноутбука отдела технической защиты так же не требуется, т.к. на данной ЭВМ обработка какой либо секретной информации не производиться.
На оставшиеся 7 компьютеров необходимо провести соответствующие измерения и расчеты для выяснения возможности утечки информации по каналу ПЭМИН.
Одним из услуг, предоставляемых ООО «Технология защиты», является аттестация компьютеров, поэтому с соответствующим оборудованием для проверок и проведением измерений уровня ПЭМИН не возникнет проблем.
Для проведения измерений на компьютерах запускались тест - сигналы, создаваемые специализированной тестирующей программой и с помощью программно-аппаратного комплекса «Сигурд» проводились измерения по электрической и магнитной составляющей электромагнитного поля.
Результаты измерений представлены в таблице 3.
Таблица 3 - Результаты измерений по электрической и магнитной составляющей электромагнитного поля
Fi, МГц |
Eoi, дБ |
pHoi, дБ |
Eшi, дБ |
pHшi, дБ |
Eсi, мкВ/м |
pHсi, мкВ/м |
Ri, м |
|
АРМ - 1 |
||||||||
53,3 |
24 |
- |
21 |
- |
186,21 |
- |
1,3 |
|
159,9 |
22 |
- |
20 |
- |
187,67 |
- |
1,1 |
|
АРМ - 4 |
||||||||
74,4 |
28 |
- |
23 |
- |
364,31 |
- |
1,6 |
|
223,2 |
26,5 |
- |
24 |
- |
363,24 |
- |
1,2 |
|
АРМ - 5 |
||||||||
43.00 |
49.45 |
- |
48.45 |
- |
134.61 |
- |
1,24 |
|
АРМ - 7 |
||||||||
54,02 |
26 |
- |
20 |
- |
299.4 |
- |
1,7 |
|
162,06 |
22 |
- |
18 |
- |
325.5 |
- |
1,4 |
|
АРМ - 8 |
||||||||
32.5 |
21 |
- |
20.5 |
- |
58,47 |
- |
1,2 |
|
97,5 |
20 |
- |
19 |
- |
91.32 |
- |
0,9 |
|
АРМ - 12 |
||||||||
43 |
20.5 |
- |
20 |
- |
58,03 |
- |
0,9 |
|
АРМ - 13 |
||||||||
78,5 |
26 |
- |
20 |
- |
227,8 |
- |
1,5 |
|
193,7 |
24 |
- |
23 |
- |
302,34 |
- |
1,4 |
Тестовые сигналы от остальных узлов и блоков данных ЭВМ на фоне естественных помех не обнаружены.
В таблице используются следующие обозначения:
Fi, МГц - частота i - ой спектральной составляющей информативного сигнала;
Eoi (pHoi), Eшi (pHшi), дБ - измеренные уровни напряженности электромагнитного поля по электрической (магнитной) составляющей при работе основных технических средств и систем в тестируемом режиме и при выключении основных технических средств и систем, соответственно;
Eсi (pHсi), мкВ/м - рассчитанные уровни напряженности электромагнитного поля по электрической (магнитной) составляющей, создаваемые информативным сигналом;
Ri, м - радиус контролируемой зоны для i - ой спектральной составляющей информативного сигнала.
Уровни напряженности электромагнитного поля по магнитной составляющей, согласно документу «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», измеряются в диапазоне частот от 9 КГц до 30 МГц.
Уровни напряженности электромагнитного поля по электрической составляющей измеряются в диапазоне частот от 9 КГц до 1000 МГц.
Измерения по электрической и магнитной составляющим электромагнитного поля проводились в дБ относительно 1 мкВ/м в полосе частот 200 Гц для диапазона 9 - 150 КГц, 9 КГц для диапазона 0,15 - 30 МГц и 100 КГц для диапазона свыше 30 МГц.
Для вычисления уровня напряженности электромагнитного поля по электрической (магнитной) составляющей, создаваемым информативным сигналом используем следующую формулу:
К значению прибавляем колибровачные данные антенны в величине 22 дБ, погрешность антенны - 2 дБ и погрешность приемника - 2 дБ. В результате чего получается .
С помощью формулы (1) вычисляем .
, дБ.
Переведем из полученное значение из дБ в мкВ/м по формуле:
.(2)
Получаем:
мкВ/м.
Пользуясь следующими формулами, находим границы ближней, промежуточной и дальней зон для частоты 53,3 МГц:
, м,(4)
, м,(5)
где - расстояние от компьютеров до границы ближней и промежуточной зон, м;
- расстояние от компьютеров до границы промежуточной и дальней зон, м;
- частота спектральной составляющей информативного сигнала, МГц.
Получаем:
, м,
и
, м.
Пользуясь формулой (3), вычисляем радиус контролируемой зоны.
м.
Аналогично производим расчеты для всех остальных измеренных частот остальных ЭВМ.
Таким образом, радиус требуемой контролируемой зоны для исследуемых компьютеров представлено в таблице 4.
Таблица 4 - Радиус требуемой контролируемой зоны
Наименование АРМ |
Минимальное расстояние до КЗ (м) |
|
АРМ - 1 |
1,3 |
|
АРМ - 4 |
1,6 |
|
АРМ - 5 |
1,5 |
|
АРМ - 7 |
1,4 |
|
АРМ - 8 |
1,5 |
|
АРМ - 12 |
1,6 |
|
АРМ - 13 |
1,5 |
Расстояние ЭВМ ООО «Технология защиты от границы КЗ больше чем радиус распространения информативного сигнала по ПЭМИ, поэтому применение мер и средств защиты информации не требуется.
Для выявления электрических каналов утечки информации измерениям подвергается информативный сигнал, наведенный от ЭВМ, на линии, приведенные в таблице 5, расположенные совместно с компьютерами.
Таблица 5 - Лини имеющиеся в ООО «Технология защиты»
Название линии |
Реальный пробег линии до границы контролируемой зоны, м |
|
Линия питания 220 В |
30 |
|
Телефонная линия |
АТС и линия находится в пределах контролируемой зоны |
|
Линия локальной вычислительной сети |
Линия находится в пределах контролируемой зоны |
|
Линия системы пожарной сигнализации |
10 |
|
Трубопровод системы отопления |
Выполнено пластиком |
|
Заземление |
Выполнено зануление |
Для проведения измерений на компьютерах запускались тест - сигналы, создаваемые специализированной тестирующей программой и с помощью средств измерений, приведенных в таблице 6, проводились измерения.
Таблица 6 - Средства измерений
Наименование средств измерения |
Тип |
|
Анализатор спектра |
IFR 2399C |
|
Антенна дипольная с развязывающим устройством |
АИ5 - 0 УР - 1.6 |
|
Антенна рамочная с развязывающим устройством |
АИР3 - 2 УР1 - 6 |
|
Токосъемник измерительный |
ТИ2 - 3 |
|
Пробник напряжения |
Я6 - 122/1 |
Информативный сигнал измерялся на частотах обнаруженных информативных побочных электромагнитных излучений в диапазоне 0,1….250 МГц путем подключения измерительного пробника, соединенного со входом анализатора спектра к линиям вспомогательных технических средств и систем (см. Табл. 6).
Результаты измерений наведенного информативного сигнала и расчета значения допустимого пробега линий (коммуникаций) до границы контролируемой зоны представлены в таблице 7.
Таблица 7 - Результаты измерений
Fi МГц |
U(c+ш)i дБ |
Uшi дБ |
Uсi дБ |
U1измi мкВ |
U2измi мкВ |
КПi дБ/м |
Ri м |
Rкз м |
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
|
АРМ - 1 |
|||||||||
Наводка информативного сигнала на цепь питания 220 В (фаза) |
|||||||||
53.3 |
35 |
26.5 |
49.56 |
562.34 |
112.20 |
3.5 |
9.45 |
30 |
|
159.9 |
32 |
26 |
45.04 |
630.96 |
100.00 |
4 |
7.26 |
30 |
|
Наводки информативного сигнала на цепь питания 220 В (ноль) |
|||||||||
53.3 |
36 |
26 |
50.76 |
501.19 |
112.20 |
3.25 |
10.7 |
30 |
|
159.9 |
31 |
25 |
44.04 |
530.34 |
125.89 |
3.5 |
8.3 |
30 |
|
АРМ - 4 |
|||||||||
Наводка информативного сигнала на цепь питания 220 В (фаза) |
|||||||||
74.4 |
29 |
27 |
39.8 |
501.19 |
100.00 |
3.5 |
6.51 |
25 |
|
Наводки информативного сигнала на цепь питания 220 В (ноль) |
|||||||||
74.4 |
30 |
26 |
42.92 |
446.68 |
100.00 |
3.25 |
8.28 |
25 |
|
АРМ - 5 |
|||||||||
Наводка информативного сигнала на цепь питания 220 В (фаза) |
|||||||||
43.00 |
19.50 |
18.50 |
12.63 |
375.84 |
133.35 |
9.00 |
0.46 |
5 |
|
Наводки информативного сигнала на цепь питания 220 В (ноль) |
|||||||||
43.00 |
19.50 |
18.50 |
12.63 |
375.84 |
118.85 |
10.00 |
0.41 |
5 |
|
АРМ - 7 |
|||||||||
Наводка информативного сигнала на цепь питания 220 В (фаза) |
|||||||||
54.02 |
20 |
19.5 |
25.76 |
501.19 |
112.20 |
3.25 |
5 |
20 |
|
162.06 |
22 |
20 |
26.26 |
562.34 |
112.20 |
3.5 |
6.75 |
20 |
|
Наводки информативного сигнала на цепь питания 220 В (ноль) |
|||||||||
54.02 |
20 |
19 |
25.76 |
562.34 |
125.89 |
3.25 |
5 |
20 |
|
162.06 |
24 |
20 |
28.53 |
562.34 |
112.20 |
3.5 |
7.93 |
20 |
|
АРМ - 8 |
|||||||||
Наводка информативного сигнала на цепь питания 220 В (фаза) |
|||||||||
32.5 |
22 |
21 |
30.53 |
562.34 |
100.00 |
3.75 |
5.21 |
20 |
|
97.5 |
20 |
19 |
28.53 |
562.34 |
112.20 |
3.5 |
5.57 |
20 |
|
Наводки информативного сигнала на цепь питания 220 В (ноль) |
|||||||||
32.5 |
21 |
20 |
29.53 |
562.34 |
125.89 |
3.25 |
6.01 |
20 |
|
97.5 |
19.5 |
18 |
29.55 |
707.95 |
112.20 |
3.5 |
5.39 |
20 |
|
АРМ - 12 |
|||||||||
Наводка информативного сигнала на цепь питания 220 В (фаза) |
|||||||||
43 |
19.5 |
18.5 |
28 |
398.11 |
79.43 |
3.5 |
5.58 |
20 |
|
Наводки информативного сигнала на цепь питания 220 В (ноль) |
|||||||||
43 |
19.5 |
18.5 |
28 |
398.11 |
79.43 |
3 |
6.51 |
20 |
|
АРМ - 13 |
|||||||||
Наводка информативного сигнала на цепь питания 220 В (фаза) |
|||||||||
78.5 |
20 |
22 |
27.51 |
523.83 |
113.23 |
3.5 |
5.32 |
5 |
|
193.7 |
21 |
20.5 |
28.67 |
547.12 |
113.23 |
3.63 |
6.23 |
5 |
|
Наводки информативного сигнала на цепь питания 220 В (ноль) |
|||||||||
78.5 |
21.5 |
21 |
28.12 |
547.12 |
123.53 |
3.25 |
5.45 |
5 |
|
193.7 |
20.5 |
22 |
28.45 |
521.54 |
119.87 |
3 |
5.81 |
5 |
Наводка информативного сигнала на линию пожарной сигнализации на фоне естественных помех сигнал не обнаружен.
В таблице используются следующие обозначения:
Fi, МГц - частота i - ой спектральной составляющей информативного сигнала;
U(c+ш)i дБ - напряжение смеси обнаруженных компонент тест - сигнала и шума;
Uшi дБ - шум в линии;
Uсi дБ - напряжение сигнала в линии;
U1измi мкВ - напряжение специально созданного сигнала, измеренное на частоте Fi исследуемой линии в непосредственной близости от ОТСС;
U2измi мкВ - напряжение специально созданного сигнала, измеренное на частоте Fi исследуемой линии, на некотором удалении от ОТСС;
КПi дБ/м - коэффициент погонного затухания наведенных сигналов в исследуемой линии;
Ri м - максимальная длина пробега исследуемой линии, на которой возможно выделение информативного сигнала;
Rкз м - реальный пробег исследуемой линии до границы контролируемой зоны.
Исследования проводились в полосе частот 9 КГц для диапазона до 30 МГц и 100 КГц для диапазона свыше 30 МГц.
По формуле (6) рассчитываем значение напряжения сигнала в точке подсоединения измерительного пробника к линии для каждой частотной компоненты:
дБ.
По формуле
рассчитываем показатель защищенности в точке проведения измерений для каждой из частных компонент.
По формуле
, дБ/м,(8)
рассчитываем величину коэффициента погонного затухания наведенных сигналов в исследуемой линии. - протяженность линии между точками, где было измерено и
дБ/м.
, м.
Аналогично проводим измерения на всех остальных частотах для всех остальных ЭВМ.
Результаты измерений и сравнение их с допустимыми значениями приведены в итоговой таблице 8.
Таблица 8 - Результаты измерений и сравнение их с допустимыми значениями
Линия (коммуникация) |
Ri м |
Rкз м |
Примечание |
|
1 |
2 |
3 |
4 |
|
АРМ - 1 |
||||
Линия питания 220В |
10.7 |
30 |
Защищенность обеспечивается |
|
АРМ - 4 |
||||
Линия питания 220В |
8.28 |
25 |
Защищенность обеспечивается |
|
АРМ - 5 |
||||
Линия питания 220В |
0.46 |
5 |
Защищенность обеспечивается |
|
АРМ - 7 |
||||
Линия питания 220В |
7.93 |
20 |
Защищенность обеспечивается |
|
АРМ - 8 |
||||
Линия питания 220В |
6.01 |
20 |
Защищенность обеспечивается |
|
АРМ - 12 |
||||
Линия питания 220В |
6.51 |
20 |
Защищенность обеспечивается |
|
АРМ - 13 |
||||
Линия питания 220В |
6.23 |
5 |
Защищенность не обеспечивается |
Таким образом, в результате анализа всех технических каналов утечки информации выделены следующие актуальные угрозы:
наблюдение объекта злоумышленником через открытую дверь;
наблюдение объекта злоумышленником через окно;
перехват информативного сигнала от побочных электромагнитных наводок на линии питания.
Общая схема всех выявленных технических каналов утечки представлена в приложении З.
2.5 Оценка защищенности сведений циркулирующих в средствах обработки, хранения и передачи информации ООО «Технология защиты»
Система защиты информации компании должна быть экономически целесообразной. Эффективность определяется с помощью различных показателей, при этом сопоставляются данные, выражающие эффект (прибыль, объем производства, экономия от снижения издержек) с затратами обеспечивающими этот эффект (капитальные вложения, текущие издержки).
Расчет экономического эффекта и эффективности защиты информации основывается на выявлении ущерба, нанесенного владельцу информации противоправным ее использованием и позволяет оценить результативность защиты информации. Проведя анализ результатов расчетов, возможно внести изменения в систему защиты информации для более эффективной ее защиты, недопущения разглашения охраняемой информации в дальнейшем, т.к. разглашение данной информации влечет за собой огромные убытки (ущерб) от контрафактного ее использования злоумышленником.
Т.к. на сегодняшний день не существует определенной расценки сведений конфиденциального характера, поэтому, собрав комиссию из 4-х человек, куда входили директор, заместитель директора, начальник первого отдела и начальник отдела криптографической защиты, выделили, в зависимости от степени важности и ценности информации, три грифа конфиденциальности: базовый, расширенный и усиленный. Каждому грифу конфиденциальности установили свою условную цену единице информации (Мбайт):
базовый - 50 руб.;
расширенный - 500 руб.;
усиленный - 2000 руб.
Стоимость защищаемой информации определяется в соответствии с формулой:
Ц = V * Z,(10)
где Ц - цена защищаемой информации в условных единицах;
V - объём защищаемой информации в мегабайтах;
Z - цена за 1 Мбайт информации.
Если объем информации в электронном и бумажном виде дополняют друг друга, то мы учитываем наибольший объем.
Стоимости и объем элементов информации представлены в таблице 9.
Таблица 9 - Объем и стоимость элементов информации
Наименование элемента информации (объем, Мбайт) |
Гриф конфиденциальности |
Цена информации, руб. |
|
1 |
2 |
3 |
|
БД «Клиенты 2.1» (300) |
Б |
15 000 |
|
БД «Удостоверяющий центр» (500) |
У |
1 000 000 |
|
БД «1С: Бухгалтерия» (50) |
Р |
25 000 |
|
БД «1С: Зарплата и кадры» (50) |
Р |
25 000 |
|
Сведения в области защиты КИ (250) |
Р |
125 000 |
|
Сведения составляющие коммерческую тайну (70) |
Б |
3 500 |
|
Итого: |
1 193 500 |
И так в средствах обработки, хранения и передачи информации ООО «Технология защиты» циркулирует информация вычисленной экспертной оценкой на общую сумму в 1 193 500 рублей.
При анализе технических каналов утечки информации обрабатываемых в компьютерах Общества выяснилось, что есть место существовать оптическим и радиоэлектронным каналам. И существует большая вероятность утечки сведений конфиденциального характера по данным техническим каналам, которая может повлечь за собой так же и большой ущерб. Поэтому проектирование и построение системы защиты сведений циркулирующих в средствах обработки, хранения и передачи информации от утечки по техническим каналам является целесообразной.
3. ПРОЕКТИРОВАНИЕ ТЕХНИЧЕСКОЙ ЗАЩИТЫ СВЕДЕНИЙ ЦИРКУЛИРУЮЩИХ В СРЕДСТВАХ ОБРАБОТКИ, ХРАНЕНИЯ И ПЕРЕДАЧИ ИНФОРМАЦИИ
3.1 Обоснование технических средств защиты информации
На сегодняшний день на рынке по защите информации имеется широкий выбор средств защиты от утечки по техническим каналам. В зависимости от предъявленных требований Общество может выбрать себе средство защиты информации наиболее подходящее ей.
Той или иной выбор средств защиты информации осуществляется на основе нормативного документа «Специальные требования и рекомендации по защите конфиденциальной информации».
При анализе всех технических каналов утечки информации циркулирующих в компьютерах ООО «Технология защиты», было выявлено, что есть место быть оптическим и радиоэлектронным каналам. А именно:
наблюдение объекта злоумышленником через открытую дверь;
наблюдение объекта злоумышленником через окно;
перехват информативного сигнала от побочных электромагнитных излучений.
Для полной защиты информации Общества потребуются локализовать все выявленные угрозы.
Для защиты информации от утечки по оптическим каналам, а именно для локализации угрозы просмотра конфиденциальной информации через окна в ООО «Технология защиты» необходимо установка жалюзи (вертикальные, горизонтальные). Они не только исключают возможность наблюдения через окно, но и эффективны по основному назначению - защите от солнечных лучей. Злоумышленник в силу своих физических способностей не в состоянии будет увидеть за плотной тканью жалюзи объект наблюдения. Простой и дешевый способ защиты от оптического наблюдения.
В настоящее время на рынке огромный выбор различных видов жалюзи. Как и для всех коммерческих организаций, для которых главная цель получение максимальной прибыли с минимальными затратами, основным критерием выбора жалюзи является цена.
В таблице 10 перечислены основные модели жалюзи и их цена.
Таблица 10 - Список моделей жалюзи и их цена
Наименование производителя |
Вид жалюзи |
Цена за 1 м2 (руб.) |
|
ЖалюзиТорг |
Алюминиевые |
1890 |
|
Тканевые |
360-460 |
||
Изолайт |
Алюминиевые |
1250 |
|
Тканевые |
460 |
||
Плиссе |
Алюминиевые |
1630 |
|
Тканевые |
400 |
||
ЕВРА ЛТД |
Алюминиевые |
1590 |
|
Тканевые |
380 |
||
БЛИЦ ФИРМА |
Алюминиевые |
1380 |
|
Тканевые |
420 |
В Обществе окна большого размера, и общая стоимость может быть большой, поэтому выбор падет на тканевые жалюзи компании «ЖалюзиТорг». Площадь окон куда нужна установка жалюзи в ООО «Технология защиты» составляет 18 м2. Следовательно, стоимость жалюзи с установкой на окна составит 8 424 рубля.
Для предотвращения наблюдения через приоткрытую дверь целесообразно применить доводчик двери, который плавно закрывает дверь после ее открытия, а так же разместить рабочие места с компьютерами таким образом, чтобы с коридора не было возможным просматривать мониторы.
На рынке имеется множество разновидностей доводчиков дверей. На сегодняшний день доводчики с зубчатым приводом являются наиболее распространенной. При выборе доводчика главной составляющей является цена. В таблице 11 приведены различные модели доводчиков дверей, из них будет выбран один, который будет являться одним из ступеней проектирование системы защиты сведений конфиденциального характера обрабатываемых в ЭВМ ООО «Технология защиты» от утечки по техническим каналам.
Таблица 11 - Перечень доводчиков двери
Модель доводчика двери |
Характеристика |
Цена (руб.) |
|
DC210 X X10000 |
Мини доводчик для внутренних дверей с максимальным весом до 60 кг и максимальной шириной дверного полотна 950 мм. Рабочая температура 0°С+45°С. |
560 |
|
DC215 X X10000 |
Мини доводчик для внутренних и наружных дверей с максимальным весом до 80 кг и максимальной шириной дверного полотна 1100 мм. Рабочая температура -35°С - +45°С. |
770 |
|
DC240 X X20000 |
Доводчик для крупногабаритных внутренних и наружных дверей с максимальным весом до 120 кг и максимальной шириной дверного полотна 1400 мм. Рабочая температура -35°С - +50°С. |
880 |
|
DC241 X X10000 |
Доводчик для внутренних и наружных дверей средних размеров с максимальным весом до 100 кг и максимальной шириной дверного полотна 1250 мм. Рекомендован для применения в системах закрывания противопожарных дверей серии FD450. Рабочая температура -35°С - +50°С. |
999 |
|
DC247 X X10000 |
Доводчик для крупногабаритных внутренних и наружных дверей с максимальным весом до 160 кг и максимальной шириной дверного полотна 1600 мм. Рабочая температура -35°С - +50°С. |
1 160 |
Т.к. вес двери, на которую необходимо установка доводчика составляет 35 кг и по цене приемлема, выбор будет сделан на модель «DC210 X X10000».
Общая цена с установкой доводчика двери составит 728 рублей.
Для предотвращения перехвата информативного сигнала от побочных электромагнитных наводок на лини питания необходима установка специальных средств защиты, таковыми являются генераторы шума.
Перехват информативного сигнала от побочных электромагнитных наводок на сегодняшний день очень актуален, поэтому рынок средств защиты информации от ПЭМИН богат выбором. В таблице 12 представлены наиболее подходящие генераторы шума.
Таблица 12 - Список генераторов шума
Наименование СЗИ |
Основные характеристики |
Цена (руб.) |
|
1 |
2 |
3 |
|
Генератор шума «Гном-5» |
Уровень сигнала на выходном разъеме ГШ в различных поддиапазонах частот: 10-150кГц - 70 ( f=200Гц), 0.15-30МГц - 75 ( f=9кГц), 30-600МГц - 75 ( f=120кГц), 600-1000МГц - 50 ( f=120кГц). |
24 850 |
|
Возможность уменьшения уровня выходного сигнала в поддиапазонах частот: 10-150кГц - 40 дБ 0.15-30МГц - 30 дБ 100-600МГц - 20 дБ Энтропийный коэффициент качества шума на выходе ГШ - не менее 0.85. Конструкция и габаритные размеры ГШ предусматривают его размещение в системном блоке ПК на свободное место НГМД - 5,25». Максимальная электрическая мощность, потребляемая ГШ - не более 5 ВА. |
|||
Генератор шума «ГШ-К-1000М» |
Диапазон рабочих частот составляет 0,1-1000 МГЦ. Нормализованный коэффициент качества ЭМПШ, формируемого генератором составляет не менее 0,8. Электромагнитные поля, создаваемые генераторами на расстоянии 1 м, не превышают допустимого уровня на рабочих местах и соответствуют ГОСТ 12.1.006 84 (1999), СаНПиН 2.2.4/2.1.8.055-96. Изделие имеет сертификат ФСТЭК РФ No 338, продленный до 12.07.2012, и сертификат No МЕ67.Н00751 соответствия требованиям СанПиН 2.2.4.1191-03. |
8750 |
|
Генератор шума «ГШ-2500» |
Диапазон рабочих частот составляет 0,1-2000 МГц. Нормализованный коэффициент качества ЭМПШ составляет не менее 0,9. |
11800 |
|
Система защиты информации «Гром ЗИ-4Б» |
Система формирует шумовую помеху в широком диапазоне частот и полностью соответствует СМД ФСТЭК по контролю защищенности информации, обрабатываемой СВТ от утечки за счет ПЭМИН. Система является двухканальной. Первый канал системы формирует магнитную составляющую электромагнитного поля помех в диапазоне частот от 0,01 МГц до 30 МГц. Второй канал формирует электрическую составляющую электромагнитного поля в диапазоне от 0,01 МГц до 2000 МГц. Система состоит из генератора шумовой помехи «Гром-ЗИ-4Б», дисконусной антенны «SI-5002.1» и трёх рамочных антенн. |
16 000 |
|
Устройство защиты информации «SEL SP-113 «БЛОКАДА» |
Диапазон частот пространственного зашумления составляет 0,01 - 2000 МГц. Диапазон частот зашумления сети 220 В составляет 0,01 - 300 МГц. Коэффициент качества шумане хуже 0,8. |
16 300 |
|
Устройства комбинированной защиты объектов информатизации от утечки информации за счет ПЭМИН «Соната-РК1» |
Диапазон генерируемых частот 0,01…1000 МГц. Спектральная плотность мощности радиоизлучения, дБ относительно 1 мкВ/м/vкГц , на расстоянии 1 м не менее - в полосе 0,1 … 0,3 МГц 60 - в полосе 0,3 … 30 МГц 50 - в полосе 30 … 300 МГц 45 - в полосе 300 … 1000 МГц 30 Спектральная плотность напряжения шумов на нагрузке 3 Ом, дБ относительно 1 мкВ/vкГц, не менее: - в полосе 0,01 … 0,15 МГц 35 - в полосе 0,15 … 30 МГц 50 - в полосе 30 МГц … 1000 МГц 35 |
16 520 |
Из всех рассмотренных средств защиты от ПЭМИН было выбран генератор шума «ГШ-К-1000М». При выборе данного средства защиты информации не только учитывался такой фактор как цена, но и наличие сертификата ФСТЭК.
Стоимость генератора шума «ГШ-К-1000М» составляет 8 750 рублей. ООО «Технология защиты» предоставляет спектр услуг в области защиты информации, к таковым относиться и аттестация компьютеров, куда входит и защита от ПЭМИН. Поэтому установку генератора шума могут провести сами сотрудники Общества.
3.2 Определение мест размещения средств защиты информации
Согласно плану помещения ООО «Технология защиты», приведенных во второй главе и схемам расположения ЭВМ, разработаем план расположения всех компьютеров и средств защиты информации.
Для защиты конфиденциальных сведений циркулирующих в средствах обработки, хранения, и передачи информации от утечки по техническим канала в ООО «Технология защиты» следует применить следующие средства:
тканевые жалюзи компании «ЖалюзиТорг»;
доводчик двери модели «DC210 X X10000»;
генератор шума «ГШ-К-1000М».
Плата генератора «ГШ-К-1000М» устанавливается в свободный слот шины PCI или ISA материнской платы компьютера.
Так же для предотвращения утечки информации по оптическим каналам необходимо расположить ЭВМ в кабинете отдела технической защиты информации таким образом, что бы нельзя было просматривать с двери.
План расположения всех ЭВМ и средств защиты представлен на рисунке 5.
Рисунок 5 - Расположение всех ЭВМ и средств защиты
3.3 Разработка системы управления информационной безопасности
Управление представляет собой специфический вид трудовой деятельности. Оно выделилось в особую разновидность труда вместе с кооперацией и разделением труда. В условиях кооперации каждый производитель выполняет только часть общей работы, поэтому для достижения общего результата требуются усилия по соединению, согласованию деятельности всех участников совместного трудового процесса. Управление устанавливает согласованность между индивидуальными работами и выполняет общие функции, вытекающие из движения организации в целом. В этом качестве управление устанавливает общую связь и единство действий всех участников совместного процесса производства для достижения общих целей организации. Такова сущность процесса управления [12, с. 246].
Таким образом, при построении системы защиты информации, большое значение имеет разработка концепции управления информационной безопасности. Т.к. от контроля и хорошего управления зависит эффективное функционирование созданной системы защиты информации.
В данном дипломном проекте проводится проектирование системы технической защиты сведений циркулирующих в средствах обработки, хранения и передачи информации в ООО «Технология защиты». Путем анализа рынка средств защиты информации были выбраны наиболее подходящие и приемлемые для защиты от выявленных технических каналов утечки в ООО «Технология защиты». Были выбраны места размещения данных средств защиты информации и применены различные методы.
Как показывает практика, создание системы защиты информации это часть работы, еще и необходимо качественное управление для эффективной работы.
Ответственным за разработку и реализацию политики управления информационной безопасностью является директор ООО «Технология защиты», который отвечает за ее реализацию и пересмотр в соответствии с установленной процедурой. Указанная процедура обеспечивает осуществление пересмотра политики управления информационной безопасностью в соответствии с изменениями, влияющими на основу первоначальной оценки риска, появление новых уязвимостей или изменения организационной или технологической инфраструктуры. Периодические пересмотры должны осуществляться ежегодно и включать:
проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности;
определение стоимости мероприятий по управлению информационной безопасностью;
оценку влияния изменений в технологиях.
Для координации внедрения мероприятий по управлению информационной безопасностью в организации создается совет, включающий руководителей подразделений Общества:
начальник отдела технической защиты;
начальник отдела криптографической защиты;
начальник первого отдела;
начальник коммерческого отдела.
Задачи совета:
согласовывает конкретные функции и обязанности в области информационной безопасности в рамках всей организации;
согласовывает конкретные методики и процедуры информационной безопасности, например, такие как оценка рисков, классификация информации с точки зрения требований безопасности;
согласовывает и обеспечивает поддержку инициатив и проектов в области информационной безопасности в рамках всей организации, например, таких как разработка программы повышения осведомленности сотрудников в области безопасности;
обеспечивает учет включения требований безопасности во все проекты, связанные с обработкой и использованием информации;
проводит анализ инцидентов нарушения информационной безопасности;
способствует демонстрации поддержки информационной безопасности со стороны руководства организации [22, с. 54].
На директора ООО «Технология защиты» возлагается ответственность за разработку и внедрение системы управления информационной безопасностью, а также за оказание содействия в определении мероприятий.
Руководители структурных подразделений Общества несут ответственность за определение подлежащих защите ресурсов и реализацию мероприятий по управлению информационной безопасностью в подразделениях организации. В каждом подразделении назначается ответственное лицо (администратора) для каждого информационного актива, в чьи повседневные обязанности входит обеспечение безопасности данного актива.
Приказом директора ООО «Технология защиты» определяются:
информационные активы и процессы (процедуры) безопасности, связанные с каждой отдельной автоматизированной системой,
ответственные за эксплуатацию и обеспечение безопасности каждой автоматизированной системы;
уровни полномочий (авторизации) пользователей автоматизированных систем.
Все основные информационные активы должны быть учтены и закреплены за ответственными лицами приказом директора Общества. Приказ должен идентифицировать владельцев всех основных активов и определить их ответственность за поддержание соответствующих мероприятий по управлению информационной безопасностью. Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть указано фактическое местоположение актива.
Информационными активами, связанными с информационными системами, являются:
информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;
активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;
услуги: вычислительные услуги и услуги связи, основные коммунальные услуги (отопление, освещение, электроэнергия, кондиционирование) [44, с. 68].
С целью обеспечения защиты на надлежащем уровне информационных активов информацию следует классифицировать, чтобы определить ее приоритетность, необходимость и степень ее защиты. Конфиденциальная информация требует дополнительного уровня защиты или специальных методов обработки. Классификация информации позволяет определить, как эта информация должна быть обработана и защищена. Система классификации информации используется для определения соответствующего множества уровней защиты и потребности в специальных методах обработки.
Для проведения классификации автоматизированных систем ООО «Технология защиты» приказом директора создается комиссия. Результатом работы комиссии является Акт классификации автоматизированной системы.
Система доступа представляет собой совокупность норм и правил, определяющих, кто из руководителей организации, кому из пользователей и с какими категориями документов может давать разрешение на ознакомление [45, с. 77].
Система доступа должна отвечать следующим требованиям:
доступ к конфиденциальным документам может предоставляться сотрудникам, письменно оформившим с организацией отношения о неразглашении ставших им известными конфиденциальных сведений. Письменное оформление отношений о неразглашении конфиденциальной информации (соблюдения режима конфиденциальности) является обязательным условием для доступа исполнителей к документам;
доступ к конфиденциальным документам должен быть обоснованным, т.е. базироваться на служебной необходимости ознакомления с конкретным документов именно данного исполнителя;
система доступа должна давать возможность обеспечивать исполнителей всеми необходимыми им в силу служебных обязанностей документами, но только теми, которые действительно необходимы для выполнения конкретного вида работ;
доступ к документам должен быть санкционированным, т.е. осуществляться только по соответствующему разрешению уполномоченного на то должностного лица. При этом соответствующее должностное лицо может давать разрешение на ознакомление с документами только входящими в сферу его деятельности и только установленному кругу лиц;
доступ должен оформляться письменно по каждому конкретному конфиденциальному документу. При необходимости ознакомления исполнителя только с частью документа в разрешении на ознакомление должны быть указаны разделы (пункты или страницы), с которыми можно знакомить исполнителя [30, с. 101].
Доступ работников Общества к конфиденциальной информации осуществляется на добровольной основе. Эти отношения устанавливаются при приеме гражданина на работу или уже в ходе трудовых отношений. При этом необходимо выполнить следующие условия:
ознакомить работника под роспись с перечнем конфиденциальной информации;
ознакомить работника под роспись с установленным в организации режимом по охране конфиденциальности и с мерами ответственности за его нарушение;
создать работнику необходимые условия для соблюдения им установленного режима по охране конфиденциальности [29, с. 204].
Права сотрудников на доступ к конфиденциальной информации и работу с ее носителями регулируются разрешениями полномочных должностных лиц, оформленными в письменном (документальном) виде.
Оформление таких разрешений осуществляется:
директором ООО «Технология защиты» в виде приказа о допуске к конфиденциальной информации;
руководителями структурных подразделений Общества в отношении непосредственно подчиненных им сотрудников.
Именные (должностные) списки сотрудников, допускаемых к конфиденциальной информации, в обязательном порядке содержат должности и фамилии сотрудников и категории сведений (документов), к которым они допускаются.
Разрешение может оформляться непосредственно на документе (носителе информации) в виде резолюции (поручения), адресованного конкретному сотруднику; либо посредством указания (перечисления) в организационно-плановых и иных документах предприятия сотрудников (их фамилий), которые при решении конкретных производственных и иных задач должны быть допущены к конфиденциальной информации.
Функции (роли) и ответственность в области информационной безопасности, должны быть документированы. В должностные инструкции следует включать как общие обязанности по внедрению или соблюдению политики безопасности, так и специфические особенности по защите определенных активов или действий, касающихся безопасности.
Обязанности всех сотрудников организации утверждаются директором ООО «Технология защиты».
Руководители структурных подразделений обязаны:
ознакомить под расписку работника, которому для выполнения его трудовых обязанностей нужен доступ к информации, распространение которой в Российской Федерации ограничивается или запрещается, с перечнем информации, составляющей конфиденциальную информацию, обладателями которой является ООО «Технология защиты»;
создать работнику необходимые условия для соблюдения им установленного порядка организации и проведения работ по защите конфиденциальной информации в ООО «Технология защиты».
Проверки сотрудников, принимаемых в постоянный штат, следует выполнять по мере подачи заявлений о приеме на работу. В них необходимо включать следующее:
наличие положительных рекомендаций, в частности в отношении деловых и личных качеств претендента;
проверка (на предмет полноты и точности) резюме претендента;
подтверждение заявляемого образования и профессиональных квалификаций;
независимая проверка подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа).
Все сотрудники организации и представители третьей стороны, использующие средства обработки, хранения и передачи информации Общества, должны подписывать соглашение о конфиденциальности (неразглашении).
Соглашения о конфиденциальности или соглашения о неразглашении используются для уведомления сотрудников о том, что информация является конфиденциальной. Сотрудники должны подписывать такое соглашение как неотъемлемую часть условий трудового договора.
Временные сотрудники и представители третьих сторон, не попадающие под стандартный трудовой договор (содержащий соглашение о соблюдении конфиденциальности), должны подписывать отдельно соглашение о соблюдении конфиденциальности до того, как им будет предоставлен доступ к средствам обработки информации.
Условия соглашения должны определять ответственность служащего в отношении информационной безопасности. Эта ответственность должна сохраняться и в течение определенного срока (три года) после увольнения с работы.
В соглашении необходимо указать меры дисциплинарного воздействия, которые будут применимы в случае нарушения сотрудником требований безопасности.
С целью обеспечения уверенности в осведомленности пользователей об угрозах и проблемах, связанных с информационной безопасностью, и их оснащенности всем необходимым для соблюдения требований управления политики безопасности организации при выполнении служебных обязанностей, пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы свести к минимуму возможные риски безопасности [39, с. 251].
При обработке данных в АС необходимо руководствоваться руководящим документом «Положение по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах и защищаемых помещениях», утвержденным директором ООО «Технология защиты».
Все сотрудники должны быть осведомлены о процедурах информирования о различных типах инцидентов нарушения информационной безопасности (нарушение безопасности, угроза, уязвимость системы или сбой), которые могли бы оказать негативное влияние на безопасность активов организации. Сотрудники должны немедленно сообщать о любых наблюдаемых или предполагаемых инцидентах определенному своему непосредственному руководителю или администратору безопасности.
Перед началом работы в АС пользователи должны ознакомиться с инструкциями по использованию программных и технических средств, по использованию средств защиты информации под роспись.
Пользователи должны продемонстрировать администратору безопасности и (или) ответственному за защиту информации наличие необходимых знаний и умений для выполнения требований. Администратор безопасности должен вести журнал учета проверок знаний и навыков пользователей.
Пользователи, демонстрирующие недостаточные знания и умения для обеспечения безопасности конфиденциальных данных в соответствии с требованиями, к работе в АС не допускаются.
Ответственным за организацию обучения и оказание методической помощи в организации является администратор безопасности.
К работе в АС допускаются только сотрудники прошедшие первичный инструктаж ОБ в АС и показавшие твердые теоретические знания и практические навыки, о чём делается соответствующая запись в Журнале учёта допуска к работе в АС.
3.4 Оценка эффективности разработанной системы технической защиты средств обработки, хранения и передачи информации
В третьей главе производилась разработка системы технической защиты сведений циркулирующих в средствах обработки, хранения и передачи информации в ООО «Технология защиты». Для оценки эффективности созданной системы защиты информации необходим снова анализ технических каналов утечки информации.
Как уже упоминалось во второй главе, основным классификационным признаком технических каналов утечки информации является физическая природа носителя. По этому признаку они делятся на:
оптические;
радиоэлектронные;
акустические;
материально-вещественные.
Возможность утечки сведений конфиденциального характера по акустическим каналам невозможна т.к. ввод и обработка информации не проводиться голосовыми командами.
Утечки по материально - вещественным каналам так же отсутствует, потому что вышедшие из строя магнитные и иные носители информации ЭВМ, на которых во время эксплуатации содержалась информация с ограниченным доступом, уничтожаются механическим способом, путем физического разрушения.
Для защиты от выявленных оптических каналов утечки информации в ООО «Технология защиты» были применены различные средства и методы информации. Возможность просмотра или фотографирования через окна, двери отсутствует. Поэтому оптически канал утечки информации можно считать полностью локализованным.
Для оценки радиоэлектронного канала утечки необходимо произвести соответствующие измерения АРМ - 7, т.к. при первичном анализе было выявлено что только с данного компьютера возможен перехват информативного сигнала от побочных электромагнитных наводок на линии питания.
Результаты измерений наведенного информативного сигнала и расчета значения допустимого пробега линий (коммуникаций) до границы контролируемой зоны представлены в таблице 13.
Таблица 13 - Результаты измерений
Fi МГц |
U(c+ш)i дБ |
Uшi дБ |
Uсi дБ |
U1измi мкВ |
U2измi мкВ |
КПi дБ/м |
Ri м |
Rкз м |
|
Наводка информативного сигнала на цепь питания 220 В (фаза) |
Подобные документы
Анализ объекта информатизации. Политику информационной безопасности. Подсистемы технической защиты информации: управления доступом, видеонаблюдения, охранной и пожарной сигнализаций, защиты от утечки по техническим каналам, защиты корпоративной сети.
презентация [226,0 K], добавлен 30.01.2012Исследование теоретических основ и вопросов инженерно-технической защиты информации на предприятии. Разработка информационной системы инженерно-технической защиты информации. Экономическая эффективность внедренных систем защиты информации на предприятии.
курсовая работа [2,3 M], добавлен 26.05.2021Анализ информации как объекта защиты и изучение требований к защищенности информации. Исследование инженерно-технических мер защиты и разработка системы управления объектом защиты информации. Реализация защиты объекта средствами программы Packet Tracer.
дипломная работа [1,2 M], добавлен 28.04.2012Методика анализа угроз безопасности информации на объектах информатизации органов внутренних дел. Выявление основных способов реализации утечки информации. Разработка модели угроз. Алгоритм выбора оптимальных средств инженерно-технической защиты данных.
курсовая работа [476,3 K], добавлен 19.05.2014Организация системы защиты информации во всех ее сферах. Разработка, производство, реализация, эксплуатация средств защиты, подготовка соответствующих кадров. Криптографические средства защиты. Основные принципы инженерно-технической защиты информации.
курсовая работа [37,5 K], добавлен 15.02.2011Концепция обеспечения безопасности информации в ООО "Нейрософт"; разработка системы комплексной защиты. Информационные объекты фирмы, степень их конфиденциальности, достоверности, целостности; определение источников угроз и рисков, выбор средств защиты.
курсовая работа [458,9 K], добавлен 23.05.2013Характеристики объектов защиты и требования к ним. Выявление каналов утечки и требования по защите. Средства защиты и их размещение. Альтернативная система защиты информации комплексным экранированием. Экранированные сооружения, помещения, камеры.
курсовая работа [2,1 M], добавлен 16.04.2012Анализ технологий обработки информации. Построение системы защиты информации, порядок контроля за ее состоянием, определение и анализ угроз. Защита информации, которая циркулирует в системах звукоусиления. Техническая защита банковских операций.
дипломная работа [474,0 K], добавлен 19.10.2011Пути несанкционированного доступа, классификация угроз и объектов защиты. Методы защиты информации в системах управления производством. Основные каналы утечки информации при обработке ее на компьютере. Информационные потоки организации ООО "ТД Искра".
курсовая работа [198,0 K], добавлен 15.03.2016Комплексный подход в обеспечении информационной безопасности. Анализ процессов разработки, производства, реализации, эксплуатации средств защиты. Криптографические средства защиты информации. Основные принципы инженерно-технической защиты информации.
курсовая работа [725,1 K], добавлен 11.04.2016