Захист кімнати переговорів від витоку інформації

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Національний авіаційний університет

Дипломна робота

з проектування систем захисту інформації

Тема: Захист кімнати переговорів від витоку інформації

Зміст

1. Огляд можливостей щодо витоку інформації та заходів по його запобіганню

1.1 Досвід країн у захисті інформації

1.2 Загальні питання щодо захисту конфіденційної інформації при проведенні переговорів

1.3 Просторова і структурна моделі приміщення переговорів

1.4 Рекомендації із захисту

2. Виявлення каналів витоку і несанкціонованого доступу до ресурсів

2.1 Можливі канали витоку інформації

2.2 Захист інформації від витоку по акустичному і віброакустичного каналу

2.3 Технічні канали витоку інформації

2.3.1 Технічні канали витоку акустичної (мовної інформації)

2.3.2 Повітряні технічні канали витоку інформації

2.3.3 Вібраційні технічні канали витоку інформації

2.3.4 Електроакустичні технічні канали витоку інформації

2.3.5 Оптико-електронний технічний канал витоку інформації

2.3.6 Параметричні технічні канали витоку інформації

2.4 Розробка рекомендацій із захисту акустичної інформації при проведенні нарад

2.4.1 Організаційні міри при проведенні нарад

2.4.2 Планування захисних заходів щодо видів дестабілізуючого впливу

2.4.3 Технічні заходи

2.4.4 Виявлення пристроїв знімання інформації

3. Вибір режиму обстеження каналу витоку інформації та його перекриття

3.1 Засоби виявлення каналів витоку інформації

3.2 Скануючи радіоприймачі

3.3 Аналізатори спектра, радіочастотоміри

3.4 Багатофункціональні комплекти для виявлення каналів витоку інформації

Висновок

Джерела використаної літератури

Вступ

З найдавніших часів будь-яка діяльність людей ґрунтувалася на одержанні і володінні інформацією, тобто на інформаційному забезпеченні. Саме інформація є одним з найважливіших засобів рішення проблем і завдань, як на державному рівні, так і на рівні комерційних організацій і окремих осіб. Але тому що одержання інформації шляхом проведення власних досліджень і створення власних технологій є досить дорогим, те часто вигідніше витратити певну суму на добування вже існуючих відомостей. Таким чином, інформацію можна розглядати як товар. А бурхливий розвиток техніки, технології і інформатики в останні десятиліття викликало ще більш бурхливий розвиток технічних пристроїв і систем розвідки. У створення пристроїв і систем ведення розвідки завжди вкладалися і вкладаються величезні засоби у всіх розвинених країнах. Сотні фірм активно працюють у цій області. Серійно виробляються десятки тисяч моделей «шпигунської» техніки. Цьому багато в чому сприяють недоліки правової бази України. Хоча останнім часом органи влади приділяють питанням захисту інформації більше пильна увага. Ця галузь бізнесу давно і стійко зайняла своє місце в загальній системі економіки Заходу і має під собою міцну законодавчу базу у відношенні як юридичних, так і фізичних осіб, тобто строго регламентована і реалізована в чітко налагодженому механізмі виконання.

Не дивлячись на широке впровадження автоматизованих і комп'ютеризованих систем обробки інформації, людська мова залишається одним з найважливіших шляхів інформаційної взаємодії. Більш того, при децентралізації економічної і політичної системи і відповідному збільшенні частки оперативної інформації, що зв'язує в ухваленні рішень людей, важливість мовного обміну зростає. Одночасно посилюється потреба в забезпеченні конфіденційності мовного обміну.

Захист переговорів, що відбуваються в приміщенні або на контрольованій території завжди вимагає фінансових затрат і може створювати певний дискомфорт для персон, що ведуть переговори.

Суб'єкт, який зацікавлений у захищеному обміні інформацією може обрати наступні шляхи:

- підключення до захищеної державної системи зв'язку;

- організація інформаційного обміну мережами зв'язку загального користування із забезпеченням власними силами захисту від перехоплення або спотворення інформації в каналах зв'язку.

У будь-якому випадку однією із задач захисту мовної інформації є забезпечення її захисту від витоку через технічні канали.

Тематики розробок на ринку промислового шпигунства охоплюють практично всі сторони життя суспільства, безумовно, орієнтуючись на найбільш фінансово-вигідні. Спектр пропонованих послуг широкий: від примітивних радіопередавачів до сучасних апаратно-промислових комплексів ведення розвідки. Звичайно, у нас немає ще великих фірм, що роблять техніку подібного роду, немає і такої розмаїтості її моделей, як на Заході, але техніка вітчизняних виробників цілком може конкурувати з аналогічної західної, а іноді вона краще і дешевше. Природно, мова йде про порівняння техніки, що є у відкритому продажі. Апаратури ж, використовувана спецслужбами (її кращі зразки), набагато перевершує по своїх можливостях техніку, використовувану комерційними організаціями.

Все це пов'язане з достатнім ризиком цінності різного роду інформації, розголошення якої може привести до серйозних втрат у різних областях (адміністративної, науково-технічної, комерційної і т.д.). Тому питання захисту інформації (ЗІ) здобувають усе більше важливе значення.

Метою несанкціонованого збору інформації в цей час є, насамперед - комерційний інтерес. Як правило, інформація різнохарактерна і різноцінна і ступінь її таємності (конфіденційності) залежить від імені або групи осіб, кому вона належить, а також сфери їхньої діяльності. Бізнесменові, наприклад, необхідні дані про конкурентів: їх слабкі і сильні сторони, ринки збуту, умови фінансової діяльності, технологічні секрети. А в політику або у військовій справі виграш іноді виявляється просто безцінним, тому що політик, адміністратор або просто відома людина є інформантом. Цікаві його уклад життя, зв'язку в певних колах, джерела особистих доходів і т.д. А розвиток ділових відносин визначає сьогодні різке зростання інтересу до питань безпеки саме мовної інформації. Особливістю захисту мовної інформації є те, що вона не матеріальна, тому захищати її чисто технічними засобами складніше, ніж секретні документи, файли і інші носії інформації.

У процесі зародження нових проектів і висновку вигідних угод безупинно росте число ділових контактів. При цьому будь-яка процедура ухвалення рішення має на увазі, насамперед, мовне спілкування партнерів. За даними аналітиків, що працюють в області безпеки, питома вага мовної інформації може становити до 80 % у загальному обсязі конфіденційних відомостей і конкуренти або недоброзичливці можуть у своїх корисливих цілях використати отриману конфіденційну інформацію. Її знання може дозволити їм оперативніше і ефективніше вирішувати такі проблеми, як: уникнути ділових відносин з несумлінним партнером, припинити невигідні дії, що готуються, шантаж. Тобто, вирішувати проблеми найбільш коротким і швидким шляхом. У такій обстановці жоден бізнесмен або керівник не може почувати себе спокійно і бути впевненим у тім, що його секрети надійно захищені, незважаючи на все різноманіття апаратури протидії.

інформація захист конфіденційний несанкціонований

1. Огляд можливостей щодо витоку інформації та заходів по його запобіганню

1.1 Досвід країн у захисті інформації

Типова система захисту конфіденційної інформації на комерційних підприємствах Заходу.

Одним з видів погроз діяльності комерційних підприємстві є несанкціоноване знімання службової і особистої інформації (більше розповсюджена назва - підслуховування). Однак останнім часом зловмисники або конкуренти не обмежуються використанням порівняно простої апаратури, що підслухує конфіденційні розмови. Для того, щоб проникнути в чужі секрети, застосовуються найсучасніші досягнення науки і техніки, які активно використаються не тільки державними спецслужбами, але і підприємцями, приватними детективами і ін.

Про те, наскільки витончено можна красти чужі секрети, свідчить нашумілу справу Матиаса Шпеера, 20-ти річного службовця маленької німецької комп'ютерної фірми, що умудрявся, не вилазячи через стіл у своєму офісі в Ганновері, "обшарювати" комп'ютерні мережі військових відомств США, ЦРУ, великих науково-дослідних лабораторій і військово-повітряних баз США.

"Бою на фронтах" промислового шпигунства досягли таких розмірів, що змушують великі західні фірми витрачати на оснащення своїх служб технічного захисту більше засобів, чим державні відомства, у тому числі і армія.

Варто мати на увазі, що посилення захисту інформації від несанкціонованого знімання викликає відповідну реакцію по нарощуванню зусиль конкурентів і зловмисників, що цікавляться чужими секретами. Починаючи з 1960 року, що ведуть західні промислові об'єднання стали створювати власні розвідувальні і контррозвідувальні служби.

З'явилося багато невеликих частих бюро, що спеціалізуються на наданні послуг у сфері промислового шпигунства, як по захисту від нього, так і по розвідуванню чужих секретів, Так, наприклад, в 1995р. у Німеччині була створена приватна організація по наданню консультаційних послуг - "Берлінський інститут із проблем економічної безпеки. "Ініціатором створення її став у минулому керівник контррозвідувальної служби ФРН, що собі в партери запросив одного з колишніх співробітників розвідки Німеччини. На думку фахівців, такий союз позволяв створити ідеальне співтовариство по наданню західним фірмам корисних консультацій у боротьбі із промисловим шпигунством.

Закордонні видання свідчать про те, що найбільшу активність у питаннях проникнення в чужі секрети проявляють промислові кола США, Німеччини, Англії. Франції і Японії, зайняті в таких сферах:

1) технологія і виробництво хімічних продуктів, чистих металів, сплавів рідкоземельних;

2) фармацевтична промисловість;

3) медична промисловість.

Промислове шпигунство в цей час використає наступні методи:

1) підслуховування розмов у приміщенні або автомашині за допомогою попередньо встановлених радіозакладок або диктофонів;

2) контроль телефонів, телексних і телефаксних ліній зв'язку, радіотелефонів і радіостанцій;

3) дистанційне знімання інформації з різних технічних засобів, у першу чергу з моніторів і друкувальних пристроїв комп'ютерів і ін.

Звичайно, існують і інші методи підслуховування, наприклад, лазерне опромінення шибок у приміщенні, де ведуться "цікаві" розмови, спрямоване радіовипромінювання, що може змусити "відгукнутися і заговорити" деталь у телевізорі, у радіоприймачі і в іншій техніці і т.д.

Але подібні прийоми вимагають специфічних умов Крім цього, на сьогоднішній день вони трудомісткі, досить багато вартісні і тому використаються, як правило. спеціальними державними службами.

Достаток напрямків і методів підслуховування породило велику кількість організаційних і технічних способів захисту, у яких використаються найрізноманітніші засоби і апаратури. Розглянемо основні напрямки спеціального захисту.

Пошук техніки підслуховування. Цей напрямок є найпоширенішим способом захисту. Розшукові роботи можуть проводитися як в окремому приміщенні, так і у всьому будинку бути одноразовим підприємством або повторюватися з певною періодичністю.

У країнах Західної Європи вже давно зложилася практика, коли комерційні фірми містять контракти з фахівцями з виявлення пристроїв, що підслухують, для перевірки особливо важливих кабінетів керівників кімнат для переговорів і нараді. Як правило, такі контракти мають на увазі проведення пошуку 1 раз у тиждень і перед важливими нарадами переговорами. Частота пошуку залежить від режиму використання приміщення обстановки навколо об'єкта ступеня важливості обговорюваних у цьому приміщенні питань.

Пошук техніки підслуховування може тривати від декількох годин до декількох днів. У його здійсненні може брати участь як одна людина, так і група фахівців. Це буде залежати від актуальності витоку інформації на об'єкті. Захід спричинить певні фінансові витрати.

Фахівці з пошуку техніки підслуховування починають свою роботу, як правило, з опитування персоналу фірми вивчення режиму використання і відвідуванні приміщення, що перевіряє.

Техніка підслуховування не може з'явитися сама по собі її повинен хтось принести в "цікавий кабінет" і правильно там установити. Конкуренти можуть завербувати монтера, телефоніста електрика прибиральницю або мебельника які періодично з'являються в необхідних кабінетах і працюють там якийсь час (достатнє для того щоб залишити радіозакладку в затишному місці). На робочому столі можна підмінити який-небудь предмет на точно такий же, але з електронною начинкою а потім повернути його на своє місце. Це на жаль можуть зробити і секретар і службовець фірми які мають доступ до необхідного місця.

Часті випадки, коли "жучки" можуть бути заховані в подарунки або сувеніри. Особливо привабливим для установки різноманітної техніки підслуховування є капітальний або косметичний ремонт кабінету.

Ідеальним предметом для техніки підслуховування є сучасний телефон зі складним електронним програмуванням своєї роботи. Мало того, що виявити "жучка" у телефоні досить складно, електронні елементи сучасного телефонного апарата можуть бути пристроями, що підслухують, навіть без їхньої попередньої переробки. Тому рекомендується встановлювати в кабінетах, де проводяться важливі наради і переговори тільки ті телефони, які порадить і до того ж, попередньо перевірить відповідний фахівець.

Важливим моментом є скритність проведення пошуку радіозакладок Якщо серед персоналу співробітників підприємства з'явиться людина працюючий на конкурентів, то він напевно буде уважно стежити за появою фахівців, які можуть піймати його за руку. Необхідно завжди пам'ятати, що питання безпеки об'єкта особливості використання технічних засобів захисти повинні бути віднесені до розряду комерційної таємниці. Проведення "чищення" одна з найбільш делікатних і конфіденційних сторін діяльності в сфері захисту інформації і системи безпеки в цілому.

Технічні засоби захисту приміщення від підслуховування. Істотною перешкодою на шляху зловмисника з технікою по зніманню інформації є створення на об'єктах особливих захищених від підслуховування приміщень для проведення засідань правління, торговельних переговорів і конфіденційних бесід. Таким приміщенням привласнюється статус спеціальних, вони обладнаються з урахуванням наступних вимог:

1) будинок, де розміщаються такі приміщення повинне мати цілодобову охорону і систему сигналізації;

2) приміщення розташовується по можливості в центрі будинку поруч із кабінетами керівництва об'єкта;

3) якщо в приміщенні повинні бути вікна, те бажано, щоб вони не мали балконів і не виходили на сусідні з вашим об'єктом будинку, а дивилися б на внутрішній двір або закривалися б глухими ставнями;

4) усередині приміщення повинне бути мінімальна кількість меблів конструкція її повинна бути максимально пристосована для роботи фахівця з пошуку техніки підслуховування;

5) у приміщенні не повинне бути радіоелектронних пристроїв комп'ютерів телевізорів магнітофонів;

6) телефонний зв'язок, як найбільш зручна для підслуховування повинна здійснюватися особливим образом, що порекомендує фахівець із захисту. Якщо можливо, краще відмовтеся від будь-яких видів зв'язку викликаючи наприклад секретаря за допомогою найпростішої дзвінкової кнопки.

Рекомендується захищати кімнати для переговорів спеціальної зашумляючими апаратами. Фахівець із захисту приміщень допоможе в цьому питанні, оцінить доцільність витрат, а якщо це буде необхідно, те і проведе відповідні роботи з монтажу системи зашумлення.

Відомий і такий спосіб захисту, як проведення переговорів у прозорій зробленій з оргскла і пластику кабіні. Це потрібно для того, щоб відразу помітити будь-який сторонній (непрозорий) предмет, у тому числі і "залишену" ким-небудь апаратури підслуховування. У такій кабіні всі предмети, у тому числі і меблі, також зроблені із прозорих пластиків. Спеціальна система вентиляції подає повітря усередину кабіни.

При виборі способу захисту приміщень варто пам'ятати про те, що ефективність його буде високої тільки при строгому дотриманні режиму відвідувань і роботи в спеціальному кабінеті. Необхідна і періодична його перевірка фахівцем з пошуку техніки підслуховування. Практика показує, що строге дотримання всього комплексу мер безпеки в сполученні з особистою зацікавленістю співробітників у процвітанні своєї фірми може створити непереборний психологічний бар'єр для конкурентів і зловмисників, у яких страх швидкого викриття їхніх злочинних дій на об'єкті яким цікавиться буде сильніше бажання одержати які-небудь особисті вигоди або винагороду.

Захист технічних засобів обробки інформації. Як уже говорилося раніше, конкуренти проявляють інтерес не тільки до ділових розмов. Об'єктом їхньої уваги є технічні засоби, за допомогою яких обробляється і зберігається ділова службова і комерційна інформація. Персональні ЕОМ, копіювальні апаратури, принтери і інша техніка випромінюють різного роду сигнали (електромагнітні, акустичні, вібраційні), які можна приймати, перебуваючи по сусідству з розвідує об'єктом, що, і дешифрувати їх потім на спеціальній апаратурі.

Захист технічних засобів обробки інформації може проводитися по таких напрямках:

1) виявлення, усунення і істотне ослаблення випромінюючих сигналів шляхом доробки самих технічних засобів,

2) екранування засобів обробки інформації і приміщень, у яких вони використаються,

3) використання спеціальних генераторів радіоперешкод для маскування (покриття) побічних випромінювань.

Варто пам'ятати про те, що в цей час у продажі є особлива техніка, наприклад, спеціальні комп'ютери з мінімальним рівнем побічних випромінювань для роботи з конфіденційною і секретною інформацією.

Захист комунікацій. Інформація, складова комерційну таємницю, може бути присутнім не тільки в розмовах і документах, які обробляються комп'ютерами або засобами оргтехніки Важливим атрибутом діяльності будь-якого виду комерційних об'єктів є зв'язок телефонна, телексна, спеціальна комп'ютерна, радіозв'язок і т.п.

Конкуренти або недруги завжди намагаються контролювати канали зв'язку об'єкта яким цікавляться. При цьому них залучають не тільки зовнішні канали, але і внутрішній зв'язок, по якій, як правило, циркулює службова інформація найрізноманітнішого змісту.

Захист вихідних з об'єкта каналів зв'язку (зовнішніх комунікацій) містить у собі:

1) використання власної апаратури електронного шифрування для телефаксного, комп'ютерного і телефонного зв'язку при обміні конфіденційною або важливою інформацією з партнерами і клієнтами,

2) використання (якщо це можливо) платних державних захищених каналів зв'язку,

3) застосування при веденні телефонних переговорів по міських каналах зв'язку заздалегідь обговорених умовних фраз і кодових виражень про час, місце проведення важливих ділових зустрічей і нарад, про фінансові питання або доставку цінностей,

4) скорочення або виключення обговорень по міських телефонах важливих комерційних питань, особливо при використанні бездротових (радіо) телефонних апаратів.

Останні два моменти також важливі для співробітників служби охорони, що використають радіостанції при несенні служби усередині об'єкта і при супроводі людей і коштовних вантажів.

Захист внутрішніх комунікацій містить у собі:

1) екранування комунікацій,

2) використання електронного зашумлення комунікацій і мереж електроживлення, що забезпечують роботу техніки обробки важливої інформації,

3) установка датчиків сигналізації на місця можливих сторонніх підключенні до комунікацій (розподільним шафам, колодкам і розніманням),

4) використання внутрішнього телефонного зв'язку, не підключеної до міських телефонних каналів,

5) періодичний контроль внутрішніх комунікацій фахівцем служби технічного захисту.

B цілях захисту зв'язку усередині об'єкта не рекомендується використати радіофіковані телефонні апарати, незважаючи на їхні видимі зручності. Переговори по радіоканалі можуть стати надбанням сторонніх осіб, що мають відповідні радіоприймальні апаратури.

У висновку необхідно відзначити, що використання всіх перерахованих вище засобів і методів захисту вимагає досить високих матеріальних витрат (вони, проте, завжди нижче фінансових втрат при витоку важливої комерційної інформації), а також відповідної професійної підготовки і досвіду роботи персоналу служби безпеки в цій області.

1.2 Загальні питання щодо захисту конфіденційної інформації при проведенні переговорів

У підприємницьких структурах і іноді невеликих державних підприємствах (далі фірмі) загальні питання організації проведення нарад і переговорів входять у комплекс посадових обов'язків секретаря-референта. Наради і переговори, у процесі яких можуть обговорюватися відомості, що становлять таємницю фірми або її партнерів, іменуються звичайно конфіденційними. Порядок проведення подібних нарад і переговорів регулюється спеціальними вимогами, що забезпечують безпека коштовної, у тому числі конфіденційної інформації (далі коштовної інформації), що у процесі цих заходів поширюється в санкціонованому (дозволеному) режимі. Основною погрозою коштовної інформації є розголошення більшого обсягу відомостей про нову ідею, продукцію або технологію, чим це необхідно.

Під розголошенням (розголосом, оголошенням) коштовної інформації розуміється несанкціонований вихід відомостей, що захищають, і документів за межі кола осіб, якою вони довірені або стали відомі в ході їхньої трудової діяльності. Інформацію розголошує завжди людина - випадково, помилково або навмисне, усно, письмово, за допомогою жестів, міміки, умовних сигналів, особисто або через посередників, з використанням засобів зв'язку і багатьма іншими способами. Причини, по яких інформація може розголошуватися на конфіденційних нарадах або переговорах, загальновідоме: слабке знання співробітниками состава коштовної інформації і вимог по її захисту, злісне невиконання цих вимог, провоковані і не провоковані помилки співробітників, відсутність контролю за виданням рекламної і рекламно-виставочної продукції і ін. Оголошення коштовної інформації в санкціонованому режимі повинне бути виправдане діловою необхідністю і доцільністю для конкретних умов і характеру обговорюваних питань.

Основними етапами проведення конфіденційних нарад і переговорів є: підготовка до проведення, процес їхнього ведення і документування, аналіз підсумків і виконання досягнутих домовленостей.

Дозвіл на проведення конфіденційних нарад і переговорів із запрошенням представників інших організацій і фірм дає винятково перший керівник фірми. Рішення першого керівника про майбутню конфіденційну нараду доводить до відомості секретаря-референта і начальника служби безпеки. З метою подальшого контролю за підготовкою і проведенням такої наради інформація про це рішення фіксується секретарем-референтом у спеціальній обліковій картці. У цій картці вказуються: найменування наради або переговорів, дата, час, состав учасників по кожному питанню, особа, керівник, відповідальний за проведення, відповідальний організатор, контрольні оцінки, зона відомостей про факт проведення, зона відомостей за результатами наради або переговорів.

Зміст етапів підготовки і проведення наради або переговорів має деякі відмінності.

Планові і непланові конфіденційні наради, що проходять без запрошення сторонніх осіб, проводяться першим керівником, його заступниками, відповідальними виконавцями (керівниками, головними фахівцями) по напрямках роботи з обов'язковим попереднім інформуванням секретаря-референта. По факті цього повідомлення або проведення такої наради секретарем-референтом заводиться облікова картка описаної вище форми. Проведення конфіденційних нарад без інформування секретаря-референта не допускається.

Доступ співробітників фірми на будь-які конфіденційні наради здійснюється на основі діючої у фірмі дозвільної системи. Дозвільна (розмежувальна) система доступу до інформації входить у структуру системи захисту інформації і являє собою сукупність обов'язкових норм, установлюваних першим керівником або колективним органом керівництва фірмою з метою закріплення за керівниками і співробітниками права використання для виконання службових обов'язків виділених приміщень, робочих місць, певного состава документів і коштовних відомостей.

Запрошення на конфіденційні наради осіб, що не є співробітниками фірми, санкціонується тільки у випадку гострої потреби їхньої особистої участі в обговоренні конкретного питання. Присутність їх під час обговорення інших питань забороняється.

Відповідальність за забезпечення захисту коштовної інформації і збереження таємниці фірми в ході наради несе керівник, що організує дану нараду. Секретар-референт надає допомогу керівникам і спільно зі службою безпеки здійснює контроль за перекриттям можливих організаційних і технічних каналів втрати інформації.

Організаційний канал несанкціонованого доступу до коштовної інформації заснований на: установленні зловмисником різноманітних, у тому числі законних взаємин з фірмою (надходження на роботу у фірму, участь у роботі фірми як партнер, посередника, клієнта, використання різноманітних облудних способів), установленні безпосереднього контакту із джерелом інформації (документом, базою даних і т.п.), співробітництві із працівником фірми або особою, що має доступ до документації фірми, таємному або по фіктивним документам проникненні в будинок фірми, приміщення, незаконному одержанні документів, інформації, використанні комунікативних зв'язків фірми (участь у нарадах і переговорах, переписка з фірмою і ін.). Технічний канал являє собою фізичний шлях витоку інформації від джерела (документа, людини і ін.) або каналу об'єктивного поширення інформації (акустичного, візуального і ін.) до зловмисника. Ґрунтується на використанні цією особою спеціальних технічних засобів розвідки, що дозволяють одержати захищає інформацію, що, без безпосереднього контакту із джерелом, що володіє цією інформацією. Технічні канали носять стандартний характер і перекриваються також стандартним набором засобів протидії. У зв'язку із цим вони часто використаються одночасно з організаційними каналами.

Підготовку конфіденційної наради здійснює організуючий його керівник із залученням співробітників фірми, допущених до роботи з конкретною коштовною інформацією, що становить таємницю фірми або її партнерів. Із числа цих співробітників призначається відповідальний організатор, що планує і координує виконання підготовчих заходів і проведення самої наради. Цей співробітник інформує секретаря-референта про хід підготовки наради або переговорів. Отримана інформація вноситься секретарем-референтом в облікову картку.

У процесі підготовки конфіденційної наради складаються програма проведення наради, порядок денний, інформаційні матеріали, проекти рішень і список учасників наради по кожному питанню порядку денного.

Всі документи, що становлять у процесі підготовки конфіденційної наради, повинні мати гриф “Конфіденційно”, складатися і оброблятися відповідно до вимог інструкції з обробки і зберігання конфіденційних документів. Документи (у тому числі проекти договорів, контрактів і ін.), призначені для роздачі учасникам наради, не повинні містити конфіденційні відомості. Ця інформація повідомляється учасникам наради усно під час обговорення конкретного питання. Цифрові значення найціннішої інформації (технічні і технологічні параметри, суми, відсотки, строки, обсяги і т.п.) у проектах рішень і інших документів не вказуються або фіксуються як загальноприйняте значення, характерного для угод подібного роду і які є стартовою величиною під час обговорення. У проектах не повинне бути розгорнутих обґрунтувань надаваних пільг, знижок або позбавлення пільг тих або інших партнерів, клієнтів. Документи, що роздають учасникам наради, не повинні мати гриф конфіденційності.

Список учасників конфіденційної наради складається окремо по кожному обговорюваному питанню. До участі в обговоренні питання залучаються тільки ті співробітники фірми, які мають безпосереднє відношення до цього питання. Це правило стосується в тому числі керівників. У списку учасників указуються прізвища, імена та по батькові осіб, займані посади, що представляють ними установи, організації, фірми і найменування документів, що підтверджують їхні повноваження вести переговори і приймати рішення. Назва представляє фірми, що, може при необхідності замінятися її умовною позначкою.

Документом, що підтверджує повноваження особи (якщо це не перший керівник) при веденні переговорів і прийнятті рішень по конкретному питанню можуть служити лист, приписання, доручення фірми, що представляє особою,, рекомендаційний лист авторитетної юридичної або фізичної особи, листовна відповідь фірми на запит про повноваження представника, в окремих випадках телефонне або факсимільне підтвердження повноважень першим керівником представляє фірми, що. Найменування документа, що підтверджує повноваження особи, може вноситися в список безпосередньо перед початком наради. Ці документи передаються учасниками наради відповідальному організаторові для наступного включення їхнім секретарем-референтом у справу, що містить всі матеріали по даній нараді або переговорам.

Документи, що становлять при підготовці конфіденційної наради, на яких передбачається присутність представників інших фірм і організацій, погоджуються із секретарем-референтом і керівником служби безпеки. Їхньої пропозиції по замічених недоліках у забезпеченні захисту коштовної інформації повинні бути виправлені відповідальним організатором наради. Після цього документи затверджуються керівником, що організує нараду.

Одночасно з візуванням підготовлених документів секретар-референт, керівник служби безпеки і відповідальний організатор визначають місце проведення наради, порядок доступу учасників наради в це приміщення, порядок документування ходу обговорення питань і прийнятих рішень, а також порядок розсилання (передачі) учасникам наради оформлених рішень і підписаних документів.

Будь-яка конфіденційна нарада організується в спеціальному (виділеному) приміщенні, що має ліцензію на проведення в ньому подібного заходу й, отже, обладнаному засобами технічного захисту інформації. Доступ у такі приміщення співробітників фірми і представників інших фірм і організацій дозволяється керівником служби безпеки і контролюється співробітником цієї служби.

Перед початком конфіденційної наради співробітник служби безпеки зобов'язаний переконатися у відсутності в приміщенні аудіо- і відеозаписуючих або передавальних пристроїв і якісній роботі засобів технічного захисту на всіх можливих каналах витоку інформації. Приміщення повинне бути обладнане кондиціонером, тому що відкриття вікон, дверей у ході наради не допускається. Вікна закриваються світлонепроникними шторами, вхідні двері обладнаються сигналом, що сповіщає про її нещільне закриття. З метою звукоізоляції доцільно мати подвійні двері (тамбур) або зашторювати двері звуковбирною тканиною.

Проведення наради в непристосовані і необладнаних відповідним чином приміщеннях фірми (крім кабінету першого керівника) не дозволяється.

У приміщенні для проведення конфіденційних нарад не повинні перебувати прилади, устаткування і технічні засоби, які безпосередньо не використаються для забезпечення ходу наради (наприклад, телефони міської мережі, ПЕВМ, телевізійні і радіоприймачі і ін.). При необхідності вони розміщаються в сусідній, ізольованій кімнаті.

Аудіо і відеозапис конфіденційних нарад, фотографування ведеться тільки по письмовій вказівці першого керівника фірми і здійснюється одним зі співробітників фірми, що готовили нараду. Чистий магнітний або фотографічний носій інформації для цих цілей видається секретарем-референтом під розпис в обліковій формі і повертається йому із зафіксованою інформацією із закінченні роботи наради.

Доступ учасників конфіденційної наради в приміщення, у якому воно буде проводитися, здійснює відповідальний організатор наради під контролем служби безпеки відповідно до затвердженого списку і пропонованих учасників персональними документами. Перед початком обговорення кожного питання состав присутніх коректується. Знаходження (очікування) у приміщенні осіб, у тому числі співробітників даної фірми, що не має відносини до обговорюваного питання, не дозволяється.

Доцільно, щоб при відкритті наради його керівник, що організував, нагадав учасникам про необхідність збереження виробничої і комерційної таємниці, уточнив, які конкретні відомості є конфіденційними на даній нараді.

Хід конфіденційної наради документується одним з його співробітників, що готовили, або секретарем-стенографісткою. На особливо закритих нарадах цю роботу виконує безпосередньо відповідальний організатор наради. Протокол, що становить, (стенограма) повинен мати грифа конфіденційності необхідного рівня і оформлятися в стенографічному зошиті, зареєстрованої секретарем-референтом.

Доцільність запису учасниками ходу наради визначається керівником, що організував нараду, виходячи зі змісту тієї інформації, що оголошує. Керівник має право не дозволити учасникам наради вести які-небудь записи або санкціонувати ведення цих записів на аркушах паперу, зареєстрованих секретарем-референтом, з наступною здачею їхній цій особі і доставкою кур'єрами фірми за місцем роботи учасників наради.

При необхідності виклику на минаючу нараду додаткових осіб (експертів, консультантів, представників інших фірм і організацій) факт їхньої участі в нараді фіксується в протоколі із вказівкою мотивів їхнього виклику. Присутність цих осіб на нараді обмежується часом розгляду тієї ситуації, по якій вони були викликані.

Учасникам конфіденційної наради незалежно від займаної посади і статусу на нараді не дозволяється:

- вносити в приміщення, у якому проводиться нарада, фото-, кіно-, відеоапаратури, комп'ютери, магнітофони, у тому числі плеєри, радіоприймачі, радіотелефони і іншу апаратури, користуватися нею;

- робити виписки з документів, використовуваних при рішенні питань на нараді і обмеження доступу, що мають грифа;

- обговорювати питання, винесені на нараду, у місцях загального користування;

- інформувати про нараду (питаннях порядку денного, составі учасників, часу і місці проведення, ході обговорення питань, змісті рішень і т.п.) будь-яких осіб, не пов'язаних із проведенням даної наради, у тому числі співробітників фірми.

Учасники наради, замічені в несанкціонованої аудіо або відеозапису, використанні засобів зв'язку, фотографуванні, втрачають права подальшої присутності на нараді. По факті складається акт, копія якого направляється фірмі, представником якої є дана особа, або передається першому керівникові фірми-організатора наради, якщо ця особа є співробітником цієї фірми. Одночасно носій не санкціоновано записаної інформації віддається секретареві-референтові для обліку і зберігання (або знищення). Пристрій запису повертається власникові.

Учасники наради не можуть оголошувати більший обсяг коштовних відомостей, чим це було встановлено при підготовці наради, або подавати відомості не стосовні до обговорюваного питання. Состав оголошуваних відомостей регламентується керівником, що організував нараду.

По закінченні конфіденційної наради приміщення, у якому воно проходило, оглядається співробітником служби безпеки, защіпається, опечатується і здається під охорону.

Документи, прийняті на нараді, оформляються, підписуються, при необхідності розмножуються і розсилаються (передаються) учасникам наради відповідно до вимог по роботі з конфіденційними документами фірми. Всі екземпляри цих документів повинні мати гриф обмеження доступу. Розсилати документи, що містять строго конфіденційну інформацію, не дозволяється.

При проведенні переговорів за висновком, продовженню або припиненню якого-небудь договору (контракту) повинні дотримуватися деякі додаткові вимоги, дотримання яких контролюється секретарем-референтом.

У процесі підготовки переговорів спочатку необхідно з'ясувати наміру організації або фірми, з якої передбачаються переговори. Якщо це маловідома фірма, то доцільно одержати про неї докладну інформацію, щоб уникнути помилкового вибору партнера або клієнта. Підготовча робота до проведення переговорів припускає виробіток плану переговорів і визначення на цій основі дозованого состава коштовної інформації, що допускається використати в спілкуванні з учасниками переговорів, динаміки її оголошення і умов виникнення в цьому робочій необхідності. Повідомлювані на цьому етапі відомості, не повинні містити виробничу або комерційну таємницю. Співробітникам фірми, що задіяні у переговорах, не дозволяється використати в дискусії конфіденційну інформацію і розкривати бажані результати переговорів, підсумки аналогічних переговорів з іншими партнерами. У процесі неофіційної частини переговорів обговорення питань, пов'язаних зі змістом і ходом дискусії, не допускається.

При веденні переговорів не варто відразу ж передавати партнерові всю запитувану їм інформацію в повному обсязі. Насамперед варто з'ясувати, з якою метою йому необхідні ці відомості і як знання цих відомостей відіб'ється на ході подальшого співробітництва з ним. На цьому етапі переговорів при з'ясуванні суті взаємних намірів доцільно будувати дискусію таким чином, щоб відповіді на питання були максимально лаконічними (“та і ні”, “може і не можемо”). Однак після юридичного оформлення взаємин і підписання партнерами, клієнтами зобов'язання про нерозголошення коштовних відомостей, вони можуть бути більш докладно ознайомлені із предметом договору. У договорі за підсумками переговорів повинне знайти відбиття взаємне зобов'язання сторін про захист коштовних і особливо конфіденційних відомостей, неприпустимості передачі їх без попередньої згоди сторін третій особі, необхідності ознайомлення із предметом договору обмеженого числа співробітників, які попередньо повинні підписати зобов'язання про збереження в таємниці отриманих відомостей.

У комерційній практиці місцем проведення переговорів стають часто постійно діючі і періодичні торговельні або торгово-промислові виставки і ярмарки. Секретар-референт повинен знати порядок захисту коштовної інформації фірми в ході цих переговорів, інструктувати їхніх учасників і контролювати дотримання ними встановлених правил.

Будь-яка виставка є, з одного боку, відмінним джерелом корисної для бізнесу інформації, об'єктом сумлінного маркетингового дослідження ринку товарів, а з іншого боку - небезпечним каналом несанкціонованого одержання конфіденційних відомостей, що стосуються нових ідей, технологій і продукції. Втрата коштовної інформації відбувається за рахунок: спілкування фахівців родинних професій, але різних фірм, і наявності у виставочній експозиції самого нового продукту. Проведені паралельно з виставочними заходами прес-конференції, семінари, презентації фірм і товарів створюють додаткову погрозу схоронності коштовної інформації. Узагальнено джерела коштовних відомостей у процесі виставочної діяльності містять у собі: експозицію, персонал фірми, що задіяні у виставці, і рекламно-виставочні матеріали.

Робота персоналу фірми з відвідувачами виставки повинна бути строго регламентована, насамперед у частині состава оголошуваних відомостей про продукцію, технічні і технологічні нововведення, укладених у цій продукції. Обов'язково враховується, що состав цих відомостей диференціюється залежно від категорії відвідувачів - масового відвідувача-дилетанта (“аматора”) і відвідувача - фахівця в даній області (“експерта”). Доцільно використати метод “чорного ящика”, при якому відвідувачеві повідомляється все, що стосується призначення продукції і її споживчих якостей, але залишаються в таємниці технологія і способи, якими досягнуті ці якості, і технічні можливості продукції. У зв'язку із цим персоналу, що обслуговує експозицію фірми, не слід знати відомості про продукцію, віднесені до виробничої або комерційної таємниці. У свою чергу фахівці фірми, обізнані в її секретах, не повинні брати участь у роботі виставочного стенда. Порозумівається це тим, що фахівець у процесі дискусії з відвідувачем може захопитися і оголосити більший обсяг відомостей, чим це передбачено. Не допускається знайомити відвідувачів, клієнтів і партнерів з винахідниками, конструкторами, технологами, що працюють над новими ідеями і новою продукцією.

Рекламно-виставочні матеріали (проспекти, прес-релізи, прайс-листи, брошури і т.п.) варто розглядати як контрольований канал поширення коштовних відомостей. При цьому варто пам'ятати, що цей канал ретельно і глибоко аналізується конкурентом з метою виявлення тих відомостей, які становлять таємницю фірми, що видала рекламні матеріали.

Захист інформації в рекламно-виставочній діяльності передбачає завчасний аналіз, експертизу призначеної для широкого оголошення будь-якої інформації про діяльність фірми і її продукції з метою виявлення в змісті або елементах відображення цієї інформації (таблицях, формулах, малюнках, фотографіях, схемах) конфіденційних відомостей або натяку на наявність таких відомостей. Подібна інформація повинна, як правило, аналізуватися від противного - з погляду того інтересу, що буде виявлений до неї конкурентами, і обсягу корисних відомостей, що витягають конкурентом з її змісту. Матеріали, що не пройшли експертизу, опублікуванню не підлягають. Експертиза включає також наступний контроль всіх опублікованих про фірму матеріалів, повідомлень засобів масової інформації, рекламних видань і рекламно-виставочних проспектів. Крім цього аналізуються подібні матеріали інших фірм для визначення можливої втрати коштовних відомостей. Рекламно-виставочні видання не повинні сигналізувати несумлінному конкурентові про те, що і де шукати.

З метою запобігань розголошення коштовних відомостей у рекламно-виставочних матеріалах треба завчасно:

- проаналізувати безліч передбачуваних і виданих матеріалів з погляду можливості добування з них коштовних, конфіденційних відомостей при зіставленні показників і узагальненні відомостей із всіх видань;

- здійснити розбивка (дроблення) інформації між різними рекламно-виставочними матеріалами, призначеними для масового відвідувача і відвідувачів-фахівців, видавати серію доповнень до основного проспекту для фахівців різного профілю;

- здійснити розбивка інформації з видів і засобів реклами - традиційним паперовим виданням, електронній рекламі, Web-сторінці, рекламі в засобах масової інформації і ін.

Разом з тим рекламно-виставочні матеріали не повинні бути малоінформативними для відвідувачів, усе найбільш важливі параметри нової продукції повинні знайти в них відбиття.

Отже, підготовки і проведення нарад і переговорів по конфіденційних питаннях, оформлення їхніх результатів пов'язані з виконанням ряду обов'язкових процедур, необхідних для правильної організації роботи організаторів і учасників цих заходів. При недотриманні викладених вимог виникає серйозна небезпека розголошення або витоку коштовних відомостей і секретів фірми, її партнерів і клієнтів. Контроль за виконанням цих вимог покладає на секретаря-референта, що забезпечує інформаційну безпеку діяльності фірми, збереження її ділових і виробничих секретів.

1.3 Просторова і структурна моделі приміщення переговорів

Необхідно провести дослідження приміщення в якому проводяться переговори і робота з документами в твердому і електронному вигляді, дати оцінку захищеності об'єкту від витоку інформації по технічних каналах і сформувати рекомендації по захисту інформації на об'єкті.

Під кімнатою, приміщенням розуміється службове приміщення, у якому ведуться розмови (переговори) конфіденційного характеру.

Тут мова йде про службові приміщення, у яких відсутні які-небудь технічні засоби обробки (передачі) конфіденційної інформації. До таких приміщень ставляться, насамперед, кімнати для переговорів на фірмах, де ведуться ділові переговори, що містять конфіденційну інформацію.

Слід зазначити, що переговірні кімнати використаються всі частіше і на сьогодні вони є практично невід'ємним атрибутом фірми. Тому буде цікаво розглянути питання забезпечення безпеки інформації у виділених приміщеннях, маючи на увазі, насамперед, кімнати для ведення переговорів.

По-перше, необхідно зрозуміти основну мету і завдання захисту, тому що правильне з'ясування мети і завдань захисту визначить надалі состав комплексу проведених заходів, їхня вартість і ефективність захисту в цілому.

Оскільки при роботі обробляється інформація, що носить конфіденційний характер (відомості про осіб, факти, події і інше, таке, що стосується фінансової діяльності підприємства), то можна зробити висновок про незаперечну необхідність побудови системи захисту даного приміщення.

Клас захищеності автоматизованої системи від несанкціонованого доступу до інформації згідно керівному документу Державної технічної комісії при Президенті України «Класифікація автоматизованих систем і вимог по захисту інформації»: 3Б.

Рис. 1.1. Схема комплексу рішень по захисту кімнат переговорів, кабінетів керівників, службових приміщень від просочування конфіденційної інформації по технічних каналах.

Виділене приміщення знаходиться на четвертому поверсі будівлі. Схема комплексу рішень по захисту кімнат переговорів, кабінетів керівників, службових приміщень від просочування конфіденційної інформації по технічних каналах представлений на рис. 1.1. Розміри приміщення: висота 3,5 метра, ширина 6 метрів, довжина 9 метрів. Приміщення знаходиться в межах контрольованої зони, відстань до межі якої не менше 40 метрів. Приміщення має одне вікно, яке виходить на внутрішню частину території. Двері виходять в коридор, в якому можуть знаходитися як працівники самої організації, так і сторонні люди.

Меблі кімнати складаються з двох столів (один стіл керівника, один стіл для переговорів), восьми стільців. Так само в приміщенні знаходиться шафа, три полки під документи, сейф та прилади захисту інформації.

Таблиця 1.1. Перелік меблів і побутових приладів, встановлених в кабінеті

Найменування	Кількість, шт.	Обліковий номер
Стіл робочий	1	006
Стіл для нарад	1	007
Стільці	8	008-015
Комп'ютер	1	016
Шафа	1	017
Полка для документів	3	018-020
Сейф	1	021

Всі стіни виконані з червоної цеглини загальною товщиною 200 мм лівої і правої стін і 400 мм стіна, що виходить в коридор і на вулицю. Всі три стіни обштукатурені і пофарбовані з обох боків. Приміщення обладнане двома батареями опалення радіаторного типу. Притока води по батареях здійснюється з приміщення, розташованого над контрольованим приміщенням, а стік з батарей здійснюється по трубах в приміщення за стіною №2. Зліва від входу за стіною №1 знаходиться допоміжне приміщення, яке є власністю організації, але доступ в нього мають сторонні люди. За стіною №2 знаходиться праворуч від входу приміщення №404. Це приміщення, так само як і попереднє, належить організації. Там знаходиться аудиторія.

Двері в приміщенні звукоізольовані, подвійні із зазором більше 200 мм, габарити 1500Ч2300 мм.

Вікно має подвійне скління, при цьому відстань між шибками дорівнює 57 мм, товщина скла 5 мм. Розмір отвору: 2200Ч1200 мм. Візуальному огляду виділеного приміщення ззовні (через вікно) перешкоджають жалюзі.

Перекриття - стеля і підлога виконані з бетонних плит з круглими порожнечами, 220 мм. На підлозі постелений паркет. Оскільки будівля чотириповерхова, то над стелею приміщення, що захищається, горище, вхід в який закритий на замок. Приміщення під підлогою є аудиторія.

Отвір припливної вентиляції знаходиться відразу при вході (зліва від дверей), а другий отвір в кінці цієї ж стіни(також ліворуч від дверей). Діаметр отвору складає 20 сантиметрів.

У мережу електроживлення подається напруга 220 В з постійною промисловою частотою 50 Герц. Офіс, що захищається, обладнаний дванадцятьма розетками.

Проаналізувавши приведені вище початкові дані, вивчивши теоретичні, аналітичні матеріали, а так само нормативні і керівні документи в даній області захисту інформації, потрібно скласти план проведення робіт на об'єкті, визначити склад заходів і їх послідовність, виробити вимоги до спеціальних технічних засобів, які використовуватимуться для дослідження об'єкту. Далі потрібно привести результати обстеження об'єкту, на їх підставі зробити висновки про захищеність досліджуваного приміщення і сформувати рекомендації по захисту.

В ході обстеження приміщення потрібно перевірити всю радіоелектронну апаратуру, предмети меблів і інтер'єру, що несуть конструкції, системи комунікації на наявність закладених пристроїв (ЗП). Провести дану перевірку слід в два етапи:

- візуальний огляд;

- пошук ЗП з використанням спеціального устаткування.

Для захисту від несанкціонованого доступу співробітників фірми і сторонніх осіб в неробочий час, приміщення обладнане дверима із замком і охоронною сигналізацією. Так само пожежна і охоронна сигналізації виведені на пульт чергового. Черговий знаходитися при вході в будівлю. Пульт чергового обладнаний світловою і звуковою індикацією, і у разі спрацьовування сигналізації спалахує відповідна лампа і подається звуковий сигнал високих частот.

Основна мета забезпечення безпеки конфіденційної інформації в переговірних кімнатах - виключити доступ до її змісту при проведенні переговорів (розмов).

Рис. 1.2. Завдання забезпечення безпеки конфіденційної інформації в кімнаті для переговорів

Першорядними завданнями забезпечення безпеки інформації (рис. 1.2.) є:

- захист інформації від витоку по акустичному каналі (АК);

- захист інформації від витоку по віброакустичному каналу (ВАК);

- захист інформації від витоку за рахунок електроакустичного перетворення (ЕАП);

- захист інформації від витоку за рахунок високочастотного нав'язування (ВЧН);

- захист інформації від витоку по оптичному каналі (ОК).

Усвідомивши основну мету і завдання захисту інформації, можна перейти до розробки моделі погроз для конфіденційної інформації, що мають місце при веденні переговорів (розмов). Моделі погроз доцільно розробляти, погодившись із завданнями захисту.

Модель погроз для інформації через акустичний канал витоку

Несанкціонований доступ до конфіденційної інформації з акустичного каналу витоку (рис. 1.3.) може здійснюватися:

Рис. 1.3. Несанкціонований доступ до конфіденційної інформації з акустичного каналу витоку

Модель погроз для інформації через віброакустичний канал витоку Несанкціонований доступ до вмісту переговорів (розмов) зловмисниками може бути також здійснений (рис. 1.4.) за допомогою стетоскопів і гідроакустичних датчиків.

За допомогою стетоскопів можливе прослуховування переговорів через стіни товщиною до 1 м 20 см (залежно від матеріалу).

Залежно від виду каналу передачі інформації від самого вібродатчика стетоскопи підрозділяються на:

- провідні (провідний канал передачі);

- радіо - (канал передачі по радіо);