Разработка системы технической защиты средств обработки, хранения и передачи информации в ООО 'Технология защиты'

Разработка системы технической защиты средств обработки, хранения и передачи информации в ООО 'Технология защиты'

Введение

Информация играет важную роль в обеспечении всех сторон жизнедеятельности общества и особо важная информация всегда подлежала защите от разглашения.

Анализ состояния ситуации в области защиты информации показывает, что в промышленно развитых странах мира существует вполне сложившаяся система защиты информации (ЗИ) в устройствах обработки данных. И, тем не менее, угрозы средствам и методам защиты информации не только не уменьшаются, но и достаточно интенсивно возрастают.

Развитие новых информационных технологий сопровождается такими негативными явлениями, как промышленный шпионаж, компьютерные преступления и несанкционированный доступ (НСД) к конфиденциальной информации. Возникли новые понятия «кибертерроризм», «информационная война» и т.п. Поэтому защита информации является важнейшей государственной задачей в любом государстве. Острая необходимость в защите информации в России нашла выражение в создании Государственной системы защиты информации (ГСЗИ) и в развитии правовой базы информационной безопасности.

Защита информации должна обеспечивать предотвращение ущерба в результате утери (хищения, утраты, искажения, подделки) информации в любом ее виде. Организация мер защиты информации должна проводиться в полном соответствии с действующими законами и нормативными документами по безопасности информации, интересами пользователей информации. Чтобы гарантировать высокую степень защиты информации, необходимо постоянно решать сложные научно-технические задачи разработки и совершенствования средств ее защиты.

Большинство современных предприятий независимо от вида деятельности и форм собственности не может успешно вести хозяйственную и иную деятельность без обеспечения системы защиты своей информации, включающей организационно-нормативные меры и технические средства контроля безопасности информации при ее обработке, хранении и передаче в автоматизированных системах. Согласно утверждениям зарубежных источников, в случае, когда 10-20% коммерческой информации попадает к конкурентам, это чаще всего приводит к банкротству фирмы.

Одним из важных средств добывания информации является техническая разведка, проводимая с помощью разнообразных специальных технических устройств. Вид применяемых технических средств разведки зависит, прежде всего, от физической природы и особенностей демаскирующих признаков объектов, являющихся источниками информации.

Источниками информации для технической разведки являются:

физические поля, возникающие в результате функционирования объектов разведки;

производственные отходы и химические выбросы объектов разведки;

видовые и конструктивные особенности объектов разведки.

Формы представления информации зависят от ее характера и физических носителей, на которых она представлена. Основными формами информации, подлежащими защите, являются:

документальные;

акустические;

телекоммуникационные;

видовые [36, с. 85].

В последние годы большое внимание уделяется защите коммерческой и секретной информации, обрабатываемой с помощью вычислительной техники.

Актуальность дипломного проекта заключается в том, что на сегодняшний день в ООО «Технология защиты» циркулируют сведения различной степени секретности, но не реализован комплекс мер по организации технической защиты обрабатываемой информации.

Объектом дипломного проектирования является ООО «Технология защиты» (Общество).

Предметом дипломного проектирования является система технической защиты средств обработки, хранения и передачи информации в ООО «Технология защиты».

Целью данного дипломного проекта является разработка системы технической защиты средств обработки, хранения и передачи информации в ООО «Технология защиты».

Для выполнения поставленной цели, необходимо выполнение ряда задач:

анализ объекта исследования на предмет утечки информации по техническим каналам;

определение способов защиты информации от выявленных технических каналов утечки в Обществе;

обоснование состава средств защиты информации;

оценка эффективности мероприятий по защите информации.

1. АНАЛИЗ ПРОЦЕССА ТЕХНИЧЕСКОЙ ЗАЩИТЫ СРЕДСТВ ОБРАБОТКИ, ХРАНЕНИЯ И ПЕРЕДАЧИ ИНФОРМАЦИИ

.1 Актуальность и важность технической защиты информации

Информация - основа жизни и деятельности человека и общества. Чем дальше продвигается наука в изучении человека, тем сложнее становится его информационная модель. Каждая клеточка нашего тела связана информационными потоками с другими его клетками и с окружающей средой. Знание глубинных информационных процессов в человеке несет большое благо и огромную угрозу. Благо, потому что возрастают возможности улучшения качества жизни человека. Но эти же возможности имеют оборотную сторону - управление человеком даже вопреки его желанию.

Традиционно считается, что когда прекращается литься кровь, наступает мир. Но в наше время такое мнение - иллюзия. Войны идут постоянно. Эти войны называются информационными. Нет нужды разрушать экологию и материальные ценности, физически уничтожать людей, когда можно, управляя человеком через информационные каналы, подчинить его себе таким образом, что это подчинение он воспримет как благо. Опасность этого оружия не только в его в массовых поражающих факторах, но и в том, что большинство людей даже не осознают факты его применения. Когда потребитель покупает в магазине товар, реклама которого постоянно мелькает на экране телевизора, то выбор часто делается не им, хотя он уверен в обратном [15, с. 239].

Как в любой войне, имеются нападающие и обороняющие стороны. Оборона имеет два аспекта - защита от информационного воздействия и защита собственной информации. Защита собственной информации часто имеет решающее значение для исхода противостояния.

В рыночных условиях информация, кроме того, представляет товар, цена которого может существенно превышать цену самых дорогих образцов продукции. Защита ее от изменения, уничтожения и кражи представляет собой все более сложную проблему. Сложность ее обусловлена, прежде всего, тем, что в условиях рынка и информационной открытости размывается граница между свободно распространяемой и закрытой информацией. Даже предприятия, выпускающие новейшую военную технику, вынуждены по законам рынка ее рекламировать, приоткрывая тем самым завесу секретности.

Следовательно, защита информации представляет собой многоцелевую проблему, часть которой еще даже не имеет четкой постановки. Наиболее разработаны вопросы защиты информации, содержащей государственную, коммерческую и прочие тайны [39, с. 171].

Среди ее направлений выделяют организационно-правовую, программно-аппаратную и инженерно-техническую защиту информации. Организационно-правовая защита информации осуществляется путем выполнения требований и рекомендаций правовых документов. Программно-аппаратная защита занимается обеспечением средств вычислительной техники и автоматизированных систем от несанкционированного доступа и криптографической защитой циркулирующей в них информации. Защиту информации с помощью инженерных конструкций и технических средств обеспечивает инженерно-техническая защита информации.

Инженерно-техническая защита информации объективно приобретает все больший вес. Такая тенденция обусловлена следующими причинами:

развитием методов и средств добывания информации, позволяющих несанкционированно получать все больший объем информации на безопасном расстоянии от ее источников;

огромными достижениями микроэлектроники, способствующими созданию технической базы для массового изготовления доступных рядовому покупателю средств нелегального добывания информации. Доступность миниатюрных и камуфлированных технических средств добывания информации превращает задачу нелегального добывания информации из уникальной и рискованной операции в прибыльный бизнес, что увеличивает число любителей легкой наживы противозаконными действиями;

оснащением служебных и жилых помещений, а также в последнее время автомобилей, разнообразной электро- и радиоэлектронной аппаратурой, физические процессы в которой способствуют случайной неконтролируемой передаче (утечке) конфиденциальной информации из помещений и автомобилей [36, с. 343].

Очевидно, что эффективная защита информации с учетом этих тенденций возможна при более широком использовании технических средств защиты, что делает актуальным и важным защиту информации от утечки по техническим каналам.

Угрозы безопасности информации - состояния и действия субъектов и материальных объектов, которые могут привести к изменению, уничтожению и хищению информации. Угрозы бывают преднамеренные и случайные.

К случайным относятся ошибки оператора, сбои технических средств обработки, передачи, хранения информации, технического персонала, случайные силы, стихийные бедствия.

К преднамеренным относят действие со стороны злоумышленника, т.е. хищение, искажение, уничтожение информации. Действия злоумышленника будут направлены на следующие технические каналы утечки информации:

оптические;

акустические (включая виброакустические, акустоэлектрические);

радиоэлектронные (включая магнитные и электрические);

материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного рода).

Носителем информации в оптическом канале является электромагнитное поле (фотоны) в диапазоне 0,46-0,76 мкм (видимый свет) и 0,76-13 мкм (инфракрасные излучения).

В радиоэлектронном канале утечки информации в качестве носителей используются электрические, магнитные и электромагнитные поля в радиодиапазоне, а также электрический ток (поток электронов), распространяющийся по металлическим проводам. Диапазон колебаний носителя этого вида чрезвычайно велик: от звукового диапазона до десятков ГГц.

В соответствии с видами носителей информации радиоэлектронный канал целесообразно разделить на 2 подвида: электромагнитный канал, носителями информации в котором являются электрическое, магнитное и электромагнитное поля, и электрический канал, носитель информации в котором - электрический ток.

Носителями информации в акустическом канале являются упругие акустические волны в инфразвуковом (менее 16 Гц), звуковом (16 Гц-20 кГц) и ультразвуковом (свыше 20 кГц) диапазонах частот, распространяющиеся в атмосфере, воде и твердой среде.

В вещественном канале утечка информации производится путем несанкционированного распространения носителей с защищаемой информацией в виде вещества, прежде всего выбрасываемых черновиков документов и использованной копировальной бумаги, забракованных деталей и узлов, демаскирующих веществ и др. Демаскирующие вещества в виде твердых, жидких и газообразных отходов или промежуточных продуктов позволяют определить состав, структуру и свойства новых материалов или восстановить технологию их получения. К утечке по этому каналу отнесено несанкционированное распространение продуктов распада радиоактивных веществ, обнаружение и распознавание которых злоумышленником обеспечивают возможность определения наличия и признаков радиоактивных веществ.

Когда речь идет о распространении за пределы организации отходов производства, следует отличать технический канал утечки от агентурного, в рамках которого вынос носителя с информацией производится проникшим к источнику злоумышленником, завербованным сотрудником организации или сотрудником, стремящимся продать информации любому ее покупателю. Граница между агентурным и каналом утечки достаточно условна, однако при утечке информации в агентурном канале переносчиком информации является лицо, сознающее противоправные действия, а в техническом вещественном канале носители вывозятся из организации с целью освобождения ее от отходов или отходы распространяются в результате действия природных сил. В качестве таких сил могут быть воздушные потоки, разносящие выбрасываемые трубами газообразные отходы, или водные потоки рек или водоемов, куда сбрасываются недостаточно очищенные жидкие или взвешенные в воде твердые частицы демаскирующих веществ.

Каждый из технических каналов имеет свои особенности, которые необходимо знать и учитывать для обеспечения эффективной защиты информации от ее утечки.

Технический канал утечки информации, состоящий из передатчика, среды распространения и приемника, является простым или одноканальным.

Однако возможны варианты, когда утечка информации происходит более сложным путем - по нескольким последовательным или параллельным каналам. В этом случае канал можно назвать, составным. При этом используется свойство информации переписываться с одного носителя на другой. Например, если в кабинете ведется конфиденциальный разговор, то утечка возможна не только по акустическому каналу через стены, двери, окна, но и по оптическому - путем съема информации лазерным лучом со стекла окна или по радиоэлектронному с использованием установленной в кабинете радиозакладки. В двух последних вариантах образуется составной канал, образованный из последовательно соединенных акустического и оптического (на лазерном луче) или акустического и радиоэлектронного (радиозакладка - среда распространения - радиоприемник) каналов. Такие каналы корректно назвать акусто-оптическим и акусто-радиоэлектронным соответственно. Для повышения дальности канала утечки может также использоваться ретранслятор, совмещающий функции приемника одного канала утечки информации и передатчика следующего канала. Например, для повышения дальности подслушивания с использованием радиозакладки можно разместить ретранслятор слабого сигнала закладного устройства в портфеле, сдаваемый якобы на хранение в камеру хранения закрытого предприятия, а принимать и регистрировать более мощный сигнал ретранслятора на удалении в несколько километров в безопасном месте. Такой составной канал называется акусто-радиоэлектронный. По частоте проявления каналы делятся на постоянные и эпизодические. В постоянном канале утечка информации носит достаточно регулярный характер. Например, наличие в кабинете источника опасного сигнала может привести к передаче из кабинета речевой информации до момента обнаружения этого источника. Регулярность получения информации через такой канал делает его весьма ценным. Поэтому разведка дорожит регулярным источником информации и защищает его от контрразведки. К эпизодическим каналам относятся каналы, утечка информации в которых имеет кратковременный, часто случайный характер.

По способу создания каналы утечки могут быть специально организованные и случайные. Организованные каналы создаются злоумышленником для регулярного добывания информации. Например, для подслушивания на большом расстоянии от источника речевой информации организуется канал утечки из помещения путем размещения в нем закладного устройства. Характеристики (частота излучения, вид модуляции, мощность передатчика и др.) этого канала известны злоумышленнику. Эти знания позволяют ему непрерывно или в определенное время прослушивать все разговоры, ведущиеся в помещении.

Побочные электромагнитные излучения и наводки создают предпосылки для образования случайных каналов утечки информации, параметры которых априори злоумышленнику не известны. Если ему удастся настроить свой приемник на частоту побочного излучения, то возникает случайный канал утечки информации. Такой канал может быть весьма информативным, но случайный характер его образования и времени работы (когда включено излучающее техническое средство) снижает его полезность для злоумышленника.

По техническому каналу утечки информация может передаваться не только в открытом виде, она может быть и закрытой. С целью повышения скрытности сигнал на выходе перспективных закладных устройств закрывается, а канал утечки, использующий эти устройства, является технически закрытым. При перехвате функциональных каналов связи, по которым передается шифрованная информация, образуется шифрованный канал утечки информации.

Возможности передачи информации по техническим каналам зависит от многих факторов: энергии сигнала, степени его ослабления в среде распространения, чувствительности и разрешающей способности приемника злоумышленника, уровня помех в канале и др. [36, с. 78].

1.2 Анализ деятельности по защите

К настоящему времени в ведущих странах мира сложилась достаточно четко очерченная система концептуальных взглядов на проблемы обеспечения информационной безопасности. Тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Понимая это, большинство руководителей предприятий и организаций принимают меры по защите важной для них информации.

Для решения задач защиты информации на предприятии создается система защиты информации (СЗИ) [15, с. 172].

СЗИ предприятия есть совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации предприятия.

Главной целью СЗИ является обеспечение непрерывности бизнеса, устойчивого функционирования коммерческого предприятия и предотвращения угроз его безопасности.

СЗИ направлена:

на защиту законных интересов организации от противоправных посягательств;

охрану жизни и здоровья персонала;

недопущение хищения финансовых и материально-технических средств; уничтожения имущества и ценностей; разглашения, утечки и несанкционированного доступа к служебной информации; нарушения работы технических средств обеспечения производственной деятельности, включая информационные технологии.

Исходя из целей СЗИ, можно определить стоящие перед ней задачи. К ним относятся:

прогнозирование, своевременное выявление и устранение угроз безопасности персоналу и ресурсам коммерческого предприятия, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

отнесение информации к категории ограниченного доступа (служебной и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов - к различным уровням уязвимости (опасности), подлежащих сохранению;

создание механизма и условий оперативного реагирования на угрозы безопасности проявления негативных тенденций в функционировании предприятия;

эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;

создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности предприятия.

Можно выделить три направления работ по созданию СЗИ:

методическое, в рамках которого создаются методологические компоненты СЗИ, разрабатывается замысел ее построения, прорабатываются правовые вопросы;

организационное, в ходе которого разрабатываются распорядительные документы, проводится обучение и инструктаж персонала и т.п.;

техническое, заключающееся в выборе, закупке и инсталляции программных, программно-аппаратных и аппаратных средств защиты информации.

Для эффективного обеспечения безопасности информации требуется создание развитого методологического аппарата, позволяющего решить следующие комплексные задачи:

создать систему органов, ответственных за безопасность информации;

разработать теоретико-методологические основы обеспечения безопасности информации;

решить проблему управления защитой информации и ее ав­томатизации;

создать нормативно-правовую базу, регламентирующую решение всех задач обеспечения безопасности информации;

наладить производство средств защиты информации;

организовать подготовку специалистов по защите информации;

подготовить нормативно-методологическую базу для проведения работ по обеспечению безопасности информации [15, с. 62].

Особого внимания требует проработка правовых вопросов обеспечения безопасности информации. Необходимо проанализировать всю совокупность законодательных актов, нормативно-правовых документов, требования которых обязательны в рамках сферы деятельности по защите информации. Предметом правового регулирования является правовой режим информации (степень конфиденциальности, собственность, средства и формы защиты информации, которые можно использовать), правовой статус участников информационного взаимодействия, порядок отношения субъектов с учетом их правового статуса.

Организационное мероприятие - это мероприятие по защите информации, проведение которого не требует применения специально разработанных технических средств [43, с. 348].

Организационное обеспечение заключается в регламентации взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к информации становится невозможным или будет существенно затруднен за счет проведения организационных мероприятий.

К основным организационным и режимным мероприятиям относятся:

привлечение к проведению работ по защите информации организаций, имеющих лицензию на деятельность в области защиты информации, выданную соответствующими органами;

категорирование и аттестация объектов технических средств передачи информации (ТСПИ) и выделенных для проведения закрытых мероприятий помещений (далее выделенных помещений) по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;

использование на объекте сертифицированных ТСПИ и вспомогательных технических средств и систем (ВТСС);

установление контролируемой зоны вокруг объекта;

привлечение к работам по строительству, реконструкции объектов ТСПИ, монтажу аппаратуры организаций, имеющих лицензию на деятельность в области защиты информации по соответствующим пунктам;

организация контроля и ограничение доступа на объекты ТСПИ и в выделенные помещения;

введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;

отключение на период закрытых мероприятий технических средств, имеющих элементы, выполняющие роль электроакустических преобразователей, от линий связи и т.д.

Техническое мероприятие - это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений [32, с. 43].

Технические мероприятия направлены на закрытие каналов утечки информации путем ослабления уровня информационных сигналов или уменьшением отношения сигнал/шум в местах возможного размещения портативных средств разведки или их датчиков до величин, обеспечивающих невозможность выделения информационного сигнала средством разведки, и проводятся с использованием активных и пассивных средств.

К техническим мероприятиям с использованием пассивных средств относятся:

контроль и ограничение доступа на объекты ТСПИ и в выделенные помещения;

установка на объектах ТСПИ и в выделенных помещениях технических средств и систем ограничения и контроля доступа;

локализация излучений:

экранирование ТСПИ и их соединительных линий;

заземление ТСПИ и экранов их соединительных линий;

звукоизоляция выделенных помещений.

развязывание информационных сигналов:

установка специальных средств защиты во вспомогательных технических средствах и системах, обладающих «микрофонным эффектом» и имеющих выход за пределы контролируемой зоны;

установка специальных диэлектрических вставок в оплетки кабелей электропитания, труб систем отопления, водоснабжения и канализации, имеющих выход за пределы контролируемой зоны;

установка автономных или стабилизированных источников электропитания ТСПИ;

установка устройств гарантированного питания ТСПИ;

установка в цепях электропитания ТСПИ, а также в линиях осветительной и розеточной сетей выделенных помещений помехоподавляющих фильтров типа ФП.

К техническим мероприятиям с использованием активных средств относятся:

пространственное зашумление:

пространственное электромагнитное зашумление с использованием генераторов шума или создание прицельных помех (при обнаружении и определении частоты излучения закладного устройства или побочных электромагнитных излучений ТСПИ) с использованием средств создания прицельных помех;

создание акустических и вибрационных помех с использованием генераторов акустического шума;

подавление диктофонов в режиме записи с использованием подавителей диктофонов.

линейное зашумление:

линейное зашумление линий электропитания;

линейное зашумление посторонних проводников и соединительных линий ВТСС, имеющих выход за пределы контролируемой зоны.

уничтожение закладных устройств:

уничтожение закладных устройств, подключенных к линии, с использованием специальных генераторов импульсов (выжигателей «жучков»).

Выявление портативных электронных устройств перехвата информации (закладных устройств) осуществляется проведением специальных обследований, а также специальных проверок объектов ТСПИ и выделенных помещений

Специальные обследования объектов ТСПИ и выделенных помещений проводятся путем их визуального осмотра без применения технических средств.

Специальная проверка проводится с использованием технических средств. При этом осуществляется:

выявление закладных устройств с использованием пассивных средств:

установка в выделенных помещениях средств и систем обнаружения лазерного облучения (подсветки) оконных стекол;

установка в выделенных помещениях стационарных обнаружителей диктофонов;

поиск закладных устройств с использованием индикаторов поля, интерсепторов, частотомеров, сканерных приемников и программно-аппаратных комплексов контроля;

организация радиоконтроля (постоянно или на время проведения конфиденциальных мероприятий) и побочных электромагнитных излучений ТСПИ.

выявление закладных устройств с использованием активных средств:

специальная проверка выделенных помещений с использованием нелинейных локаторов;

специальная проверка выделенных помещений, ТСПИ и вспомогательных технических средств с использованием рентгеновских комплексов [15, с. 127].

1.3 Анализ нормативных документов в области защиты информации

Создание системы защиты информации на предприятии, где обрабатываются сведения той или иной важности и секретности, должно проводиться в соответствии с существующим законодательством и соответствовать требованиями нормативных документов в области защиты информации.

К числу базовых документов по защите информации относится, в первую очередь, Конституция РФ. в ст. 23 установлено право на неприкосновенность личной жизни, личной и семейной тайны, тайны телефонных переговоров, почтовых, и иных сообщений. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

июля 2006 года Президент РФ подписал два важнейших для сферы документационного обеспечения управления (делопроизводства) федеральных закона: № 149 - ФЗ «Об информации, информационных технологиях и о защите информации» и № 152-ФЗ «О персональных данных».

января 2002 года Президентом был подписан закон «Об электронной цифровой подписи», развивающий и конкретизирующий положения приведенного выше закона № 149.

Основными также являются законы РФ: «О государственной тайне» от 22 июля 2004 г.; «О коммерческой тайне» от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну); «Об утверждении Перечня сведений конфиденциального характера»; «Об утверждении Перечня сведений, отнесенных к государственной тайне»; «Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну». Ряд подзаконных правовых нормативных актов, регламентируют организацию защиты государственной тайны, ведение секретного делопроизводства, порядок допуска к государственной тайне должностных лиц и граждан РФ: «Об утверждении положения о лицензировании деятельности по технической защите конфиденциальной информации» и др.

Ряд вопросов, связанных с защитой конфиденциальной информации, регулируется Уголовно-процессуальным кодексом РФ, в нем имеются положения, касающиеся тайны переписки, телефонных и иных переговоров, почтовых отправлений, телефонных и иных сообщений.

Нормы регулирования отношений, возникающих при обращении конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам.

Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:

Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам.

К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.

Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ.

Весьма продвинутым в плане информационной безопасности является Уголовный кодекс РФ. Он содержит ряд положений, относящихся к защите информации ограниченного доступа и ответственности за ее неправомерное использование.

Особым видом ответственности за нарушение коммерческой тайны является лишение соответствующей аттестации, лицензии уполномоченным органом. Но привлечение к данному виду ответственности в целом не получило к настоящему времени широкое распространение.

Правовые нормы, регулирующие использование конфиденциальной информации в судебных разбирательствах - эти нормы, в частности, установлены в Гражданско-процессуальном кодексе РФ.

Основные требования, предъявляемые к порядку обращения с конфиденциальной информацией в государственных и коммерческих структурах, содержатся также в ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

Можно сказать, что законодательные акты РФ не регламентируют в полной мере порядок учета, хранения и использования документов, содержащих конфиденциальную информацию.

Вместе с тем, в некоторых законах содержатся отдельные положения, определяющие общие принципы учета, хранения и использования документов, содержащих конфиденциальные сведения.

1.4 Порядок создания системы технической защиты информации

Защита информации должна осуществляться посредством выполнения комплекса мероприятий и применением (при необходимости) средств ЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств [24, с. 181].

Материалы по нормам, методам и этапам создания системы технической защиты государственной тайны имеют статус секретности, и, поэтому в данном дипломном проекте не будут рассматриваться.

Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации на руководителей подразделений по защите информации (служб безопасности) учреждения (предприятия).

Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) системы защиты информации (СЗИ) объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.

Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по защите информации» и должна предусматривать:

порядок определения защищаемой информации;

порядок разработки, ввода в действие и эксплуатацию объектов информатизации;

ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ [27, с. 38].

В учреждении (на предприятии) должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

Устанавливаются следующие стадии создания системы защиты информации:

предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;

стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;

стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

На предпроектной стадии по обследованию объекта информатизации:

устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;

определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;

определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;

определяются условия расположения объектов информатизации относительно границ контролируемой зоны (КЗ);

определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

определяются технические средства и системы, предполагаемые к использованию в разрабатываемой автоматизированной системе (АС) и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;

определяются режимы обработки информации в АС в целом и в отдельных компонентах;

определяется класс защищенности АС;

определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;

определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации [26, с. 413].

По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.

На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации, в т.ч. настоящего документа, с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

разработка раздела технического проекта на объект информатизации в части защиты информации;

строительно-монтажные работы в соответствии с проектной документацией, размещением и монтажом технических средств и систем;

разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;

закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;

разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;

организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;

определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;

выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;

разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации [18, с. 223].

На стадии проектирования и создания объекта информатизации оформляются также технический проект и эксплуатационная документация СЗИ.

На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

аттестация объекта информатизации по требованиям безопасности информации.

На этой стадии оформляются:

акты внедрения средств защиты информации по результатам их испытаний;

предъявительский акт к проведению аттестационных испытаний;

заключение по результатам аттестационных испытаний [1, с. 153].

С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия).

При необходимости по решению руководителя предприятия в ЗП и в местах размещения средств обработки информации могут проводиться работы по обнаружению и изъятию «закладок», предназначенных для скрытого перехвата защищаемой информации.

Такие работы могут проводиться организациями, имеющими соответствующие лицензии ФСТЭК России на данный вид деятельности [15, с. 323].

2. АНАЛИЗ СОСТОЯНИЯ ТЕХНИЧЕСКОЙ ЗАЩИТЫ СРЕДСТВ ОБРАБОТКИ, ХРАНЕНИЯ И ПЕРЕДАЧИ ИНФОРМАЦИИ В ООО «ТЕХНОЛОГИЯ ЗАЩИТЫ»

.1 Анализ деятельности ООО «Технология защиты»

ООО «Технология защиты» - это коммерческая компания, которая предоставляет целый спектр услуг в области защиты информации.

Основными направлениями деятельности ООО «Технология защиты» являются:

создание и обслуживание электронной цифровой подписи;

создание шифрованного канала между абонентами сети;

организация защиты конфиденциальной информации;

управление информационной безопасностью;

аттестация объектов вычислительной техники на соответствие требованиям по безопасности.

В профиль деятельности компаний ООО «Технология защиты» входят услуги по комплексному решению вопросов, связанных с организацией защиты конфиденциальной информации (Указ Президента РФ от 6 марта 1997 года №188) на предприятии. В пакет услуг входит:

подготовка и ведение организационно-распорядительных документов по вопросам защиты конфиденциальной информации в соответствии с требованиями нормативно-методических документов;

модель угроз безопасности персональных данных в информационно системе персональных данных;

техническое задание на создание системы защиты персональных данных;

установка и настройка технических средств защиты информации;

аутсорсинг в области технической защиты конфиденциальной информации.

Высшим органом управления общества является его единственный участник (Учредитель).

К исключительной компетенции Учредителя относится:

определение основных направлений деятельности организации;

изменение устава, в том числе изменение уставного капитала;

утверждение годовых отчетов и балансов организации;

решение о реорганизации и ликвидации организации;

принятие решения о распределении чистой прибыли организации;

утверждение документов, регулирующих внутреннюю деятельность организации;

решение иных вопросов предусмотренных Федеральным законом и Уставом организации.

Управление в организации осуществляет директор. Он подотчетен учредителю организации и контролируется таковым. Директор организации:

действует от имени организации, представляет его интересы и совершает сделки;

выдает доверенности на право представительства от имени организации;

издает приказы о назначении на должности работников организации, об их переводе, применяет меры поощрения и налагает дисциплинарные взыскания.

В ООО «Технология защиты» четыре отдела, а именно:

Отдел технической защиты.

Отдел криптографической защиты.

Первый отдел.

Коммерческий отдел.

Организационная структура Общества представлена на рисунке 1.

Рисунок 1 - Организационная структура ООО «Технология защиты»

ООО «Технология защиты» находится в двухэтажном здании по адресу: г. Оренбург, ул.Терешковой, д.281/1. Общество занимает подвал и первый этаж здания. В подвале находится лаборатория для специальных исследований. В первом этаже 6 кабинетов, которые заняты структурными подразделениями Общества. Имеется 7 окон, на 5 из них установлены жалюзи.

План помещения занимаемая ООО «Технология защиты» представлен в приложении А.

2.2 Анализ информационных потоков

Основным направлением деятельности ООО «Технология защиты» является оказание услуг в области защиты информации.

Для выполнения поставленных задач Общество создает, получает и обрабатывает большое количество информации.

Основными задачами ООО «Технология защиты» являются:

техническая защита информации;

организационная защита информации;

криптографическая защита информации.

В информационных потоках Общества присутствует информация принадлежащая:

государственной тайне;

конфиденциальной информации (см. Табл. 1).

Информационный поток - информация, рассматриваемая в процессе ее движения в пространстве и времени в определенном направлении.

Таблица 1 - Перечень сведений, составляющих конфиденциальную информацию

Информационные потоки в ООО «Технология защиты» являются смешенным, т.е. часть информации находится на бумажных носителях, а часть в виде электронных баз данных (см. Табл. 2).

Таблица 2 - Электронные базы данных, использующиеся в ООО «Технология защиты»

Базы данных формируются на основе полученных данных от клиентов (физические и юридические лица) и сотрудников ООО «Технология защиты».

Клиенты обращаются в ООО «Технология защиты» с целью получения услуг в области защиты информации. В зависимости от необходимой услуги, их обслуживает либо отдел криптографической защиты, либо технической защиты. Заключением договоров на оказание той или иной услуги занимается коммерческий отдел, но по причине маленького штата сотрудников, данными делами занимаются и отделы криптографической и технической защиты. Реквизиты юридических лиц, персональные данные их руководителей, иногда и некоторых сотрудников, а так же персональные данные физических лиц вбиваются в базу данных «Клиенты 2.1», а так же в базу данных «Удостоверяющий центр» если услугой по защите информации является получение электронной подписи.

Договора подготавливаются в двух экземплярах. Затем, после утверждения директором ООО «Технология защиты», договора либо непосредственно клиенты лично забирают, либо отправляются по почте. После утверждения клиентом, один экземпляр договора ООО «Технология защиты» получает по почте, либо непосредственно от самих клиентов. Затем в базу данных «1С: Бухгалтерия» главным бухгалтером добавляются соответствующие сведения о клиенте.

После подписания договора обеими сторонами, соответствующие отделы ООО «Технология защиты» приступают к оказанию той или иной услуги в области защиты информации. После оказания услуги Обществом, главный бухгалтер подготавливает бухгалтерские документы на оплату услуги, которые в свою очередь почтой передаются клиенту. После оплаты клиентом, подписанные бухгалтерские документы возвращаются Обществу. Затем обеими сторонами утверждается акт оказанных услуг, подписав который, клиент соглашается с выполнением всех услуг в полном объеме.

Информационные потоки в ООО «Технология защиты», которые протекают во время оказания услуг в области защиты информации, представлены на рисунке 2.

Рисунок 2 - Информационные потоки во время оказания услуг

С помощью Службы специальной связи и информации Федеральной службы охраны Российской Федерации или Государственной фельдъегерской службы Российской Федерации сторонние государственные или частные предприятия, имеющие режимно-секретное подразделение, периодически присылают в первый отдел на бумажных носителях сведения, составляющие государственную тайну.

По распоряжению директора ООО «Технология защиты» первый отдел подготавливает приказы и распоряжения, который доводятся до всех сотрудников Общества.

Информационные потоки, связанные с первым отделом, представлены на рисунке 3.

Рисунок 3 - Информационные потоки, связанные с первым отделом

Так же в ООО «Технология защиты» обмен информацией ведется между сотрудниками и главным бухгалтером. Документы, поступающие от сотрудников к главному бухгалтеру, заносятся в базу данных «1С: Предприятие».

База данных «1С: Предприятие» ведет учет сотрудников, а также создает карточку для бумажного дела сотрудника. После увольнения данные о сотруднике удаляются из базы, а бумажное дело передается в архив и хранится согласно закону об архивном деле.

После обработки документов главный бухгалтер формирует отчеты, которые передает директору для выдачи заработной платы сотрудникам, в Пенсионные и Налоговые органы. Передача информации в Пенсионные и Налоговые органы проходит по открытым каналам связи в зашифрованном виде с помощью программного обеспечения КриптоПро CSP.

Потоки информации, связанные с бухгалтерским учетом, представлены на рисунке 4.

Рисунок 4 - Информационные потоки, связанные с бухгалтерским учетом

В ООО «Технология защиты», большое количество информационных потоков, в которых циркулирует информация различного рода, начиная конфиденциальной информацией и заканчивая государственной тайной различной степени секретности.

2.3 Анализ средств обработки, хранения и передачи информации

В государственном стандарте № 15971-90 «Системы обработки информации. Термины и определения» дается следующие определения:

обработка информации - систематическое выполнение операций над данными, представляющими предназначенную для обработки информацию;

технические средства системы обработки информации - все оборудование, включая носителя данных, предназначенное для автоматизированной обработки информации;

передача информации - физический процесс, посредством которого осуществляется перемещение информации в пространстве;

хранение информации - процесс передачи информации во времени, связанный с обеспечением неизменности состояний материального носителя информации (бумаги, фотоплёнки, магнитной ленты, перфокарты и т. п.).

Из анализа перечисленных определений можно сделать вывод, что средства обработки, хранения и передачи информации - это совокупность технических средств, предназначенные для автоматизированной обработки информации, а так же перемещения информации в пространстве и времени.

В ООО «Технология защиты» под средствами обработки, хранения и передачи информации понимаются все электронно-вычислительные машины (ЭВМ). Под ЭВМ принято понимать компьютеры.

В Обществе имеется 13 компьютеров («АРМ - 1…13») и один сервер. В распоряжении коммерческого отдела находиться два компьютера, в отделе криптографической защиты 4 компьютера и один сервер, в отделе технической защиты 4 компьютера и один ноутбук, а так же первом отделе один компьютер и у главного бухгалтера один ноутбук. Все ЭВМ объединены в одну локально вычислительную сеть, кроме компьютера первого отдела (см. Приложение Б). На них обрабатывается различного рода информация и различной степени секретности.

Отдел технической защиты предоставляет различного рода услуги в области защиты информации, а именно:

подготовка пакета документов по защите персональных данных (организационно-распорядительные документы, модель угроз, регламент технологического процесса обработки, акт классификации, матрица доступа, техническое задание и эскизный проект на создание единой системы защиты персональных данных);

установка и настройка средств защиты на ЭВМ;

аттестация вычислительной техники с выдачей «Аттестата соответствия объекта информатизации».

Для оказания перечисленных услуг, на ЭВМ отдела технической защиты обрабатывается информация конфиденциального характера. Два компьютера АРМ - 2 и АРМ - 11 имеют «Аттестат соответствия объекта информатизации», т.е. прошли соответствующие проверки на соответствие требованиям нормативной документации по защите информации класса защищенности 2Б.

Непосредственно на компьютерах ведется обработка, хранение и передача конфиденциальной информации. А на ноутбуке конфиденциальная информация не обрабатывается, производиться только подготовка шаблонов документов.

Расположение компьютеров отдела технической защиты представлено в приложении В.

Отдел криптографической защиты предоставляет услуги в области криптографической защиты информации, а именно:

выдача электронной подписи;

создание VPN сетей для безопасного обмена конфиденциальной информацией по средствам продуктовой линейки «ViPNet CUSTOM»;

установка, настройка и обслуживание средств шифрования.

В отделе криптографической защиты имеется 4 компьютера и один сервер. На данных ЭВМ обрабатывается информация конфиденциального характера. Сервер, АРМ - 6 и АРМ - 9 имеют «Аттестат соответствия объекта информатизации», т.е. прошли соответствующие проверки на соответствие требованиям нормативной документации по защите информации класса защищенности 2Б.

На сервере находится база данных «Клиент 2.1», а на «АРМ - 6» - база данных «Удостоверяющий центр». На компьютере с базой данных «Удостоверяющий центр» производиться создание электронных подписей. На остальных 3-х ЭВМ ведется подготовка договоров с клиентами на оказание той или иной услуги в области криптографической защиты, а так же создание новых программных модулей для оптимизации и автоматизации работы Общества в целом.

Расположение всех ЭВМ отдела криптографической защиты представлено приложении Г.

Коммерческий отдел занимается подготовкой договоров на оказание различного рода услуг в области защиты информации, а так же консультацией клиентов обратившихся в ООО «Технология защиты». В распоряжении данного отдела имеются два компьютера. Расположение данных компьютеров представлено в приложении Д.

Первый отдел занимается ведением секретного делопроизводства. В данном отделе присутствует информация различных степеней секретности, начиная от информации конфиденциального характера и заканчивая государственной тайной грифа «особой важности». В распоряжении первого отдела один компьютер. Данная ЭВМ имеет «Аттестат соответствия объекта информатизации», т.е. прошел соответствующие проверки на соответствие требованиям нормативной документации по защите информации класса защищенности 2А. Расположение ЭВМ первого отдела представлено в приложении Е.

Главный бухгалтер занимается ведением бухгалтерского учета. В его распоряжении имеется один ноутбук, который имеет выход в сети общего пользования. Данная ЭВМ не имеет «Аттестата соответствия объекта информатизации». Расположение ноутбука главного бухгалтера представлено в приложении Ж.

2.4 Обоснование угроз по техническим каналам

Технические каналы утечки информации - физический путь от источника информации к злоумышленнику, посредством которого может быть осуществлен несанкционированный доступ к охраняемым сведениям.

Основным классификационным признаком технических каналов утечки информации является физическая природа носителя. По этому признаку они делятся на:

оптические;

радиоэлектронные;

акустические;

материально-вещественные.

В ООО «Технология защиты» имеется 14 ЭВМ, на которых обрабатывается различного рода секретности информация, начиная с информации конфиденциального характера и заканчивая государственной тайной грифа «особой важности». Пять компьютеров имеют «Аттестат соответствия объекта информатизации», т.е. прошли соответствующие проверки на соответствие требованиям нормативной документации по защите информации класса защищенности 2Б. А компьютер, на котором обрабатываются сведения, составляющие государственную тайну, прошел соответствующие проверки на соответствие требованиям нормативной документации по защите информации класса защищенности 2А.

Одним из основных технических каналов утечки информации в ООО «Технология защиты» является оптический, в котором информация добывается путем фотографирования. Это обусловлено тем, что фотоизображение имеет:

самое высокое разрешение даже на большом расстоянии от объекта наблюдения;

самую высокую информационную емкость, обусловленную максимумом демаскирующих признаков, в том числе наличием такого информативного признака как цвет.

Источником оптического сигнала является объект наблюдения, который излучает сигнал или переотражает свет другого, внешнего источника. Отражательная способность зависит от длины волны падающего света или спектральных характеристик поверхности объекта наблюдения.

По диапазону излучения оптические каналы утечки информации могут быть образованы в видимой (а также в отраженном свете), инфракрасной и ультрафиолетовой областях спектра.

Оптическим каналом утечки информации в ООО «Технология защиты» выступает жидкокристаллические (ЖК) мониторы с частотой излучения в 60 Hz; свет от люминесцентных ламп; отражение экрана монитора от глянцевой поверхности шкафа; открытая дверь в помещение. Т.к. посетители могут находиться только в коридоре, поэтому просмотр конфиденциальной информации с мониторов или отражающих поверхностей возможен только с кабинета №6 отдела технической защиты. Вероятность утечки информации при помощи оптического прибора через окно так же большая, т.к. на окнах кабинета №6 жалюзи не установлены. Установка в помещения Общества скрытых камер видеонаблюдения минимальна, т.к. доступ в помещения имеют только сотрудники компании.

В связи с данными каналами утечки возможны следующие угрозы, реализуемые по оптическому каналу:

наблюдение объекта злоумышленником через открытую дверь отдела технической защиты;

наблюдение объекта злоумышленником через окно.

В акустическом канале утечки носителем информации от источника к несанкционированному получателю является акустическая волна в атмосфере, воде и твердой среде.

Образование акустического канала утечки информации вызвано распространением звуковых колебаний в звукопроводящем материале.

В ООО «Технология защиты» ввод информации в ЭВМ и ее обработка не производится голосовыми командами. Утечка информации со средств обработки, хранения и передачи информации по акустическим каналам исключена. Поэтому в анализе акустических каналов нет необходимости.

Утечка информации по материально - вещественному каналу осуществляется по средствам несанкционированного распространения носителей с защищаемой информацией, которые могут быть, прежде всего, выбрасываемыми черновиками документов и использованной копировальной бумаги, забракованных деталей и узлов, демаскирующих веществ и др.

В ООО «Технология защиты» материально - вещественный канал утечки информации полностью локализован, а именно вышедшие из строя магнитные и иные носители информации ЭВМ, на которых во время эксплуатации содержалась информация с ограниченным доступом, уничтожаются механическим способом, путем физического разрушения.

К радиоэлектронным относятся каналы утечки информации, возникающие за счет различного вида побочных электромагнитных излучений и наводок (ПЭМИН) средствами обработки, хранения и передачи информации (СОИ). Побочные электромагнитные излучения и наводки - это паразитные электромагнитные излучения радиодиапазона, создаваемые в окружающем пространстве устройствами, специальным образом для этого не предназначенными [43, с. 342].

Перехват побочных электромагнитных излучений СОИ осуществляется средствами радио-, радиотехнической разведки, размещенными вне контролируемой зоны.

Любой работающий компьютер в ООО «Технология защиты» излучает на всех частотах. Перехватив данные излучения, можно получить какую-либо полезную информацию. Например, содержание документов, с которыми работают сотрудники, если заинтересованному лицу доступно изображение экрана монитора.

В зависимости от физической природы возникновения информационных сигналов, а также среды их распространения и способов перехвата, технические каналы утечки информации (КУИ) по каналам ПЭМИН можно разделить на электромагнитные и электрические.

Сущность электромагнитных каналов утечки информации заключается в том, что информативный сигнал излучается от СОИ и линий передачи.

Сущность электрических каналов утечки информации заключается в том, что информативный сигнал наводиться на провода и линии, в том числе на цепи заземления и электропитания.

В ООО «Технология защиты» имеется 14 ЭВМ, 6 из них имеют «Аттестат соответствия объекта информатизации», т.е. прошли соответствующие проверки на соответствие требованиям нормативной документации по защите информации класса защищенности 2Б и 2А. Аттестованные компьютеры прошли соответствующие проверки, и применены различные технические средства защиты, т.е. возможность утечки конфиденциальной информации и сведений, составляющих государственную тайну, на данных компьютерах по каналу утечки ПЭМИН исключена.

Защита от утечки по каналу ПЭМИН ноутбука отдела технической защиты так же не требуется, т.к. на данной ЭВМ обработка какой либо секретной информации не производиться.

На оставшиеся 7 компьютеров необходимо провести соответствующие измерения и расчеты для выяснения возможности утечки информации по каналу ПЭМИН.

Одним из услуг, предоставляемых ООО «Технология защиты», является аттестация компьютеров, поэтому с соответствующим оборудованием для проверок и проведением измерений уровня ПЭМИН не возникнет проблем.

Для проведения измерений на компьютерах запускались тест - сигналы, создаваемые специализированной тестирующей программой и с помощью программно-аппаратного комплекса «Сигурд» проводились измерения по электрической и магнитной составляющей электромагнитного поля.

Результаты измерений представлены в таблице 3.

Таблица 3 - Результаты измерений по электрической и магнитной составляющей электромагнитного поля

Тестовые сигналы от остальных узлов и блоков данных ЭВМ на фоне естественных помех не обнаружены.

В таблице используются следующие обозначения:, МГц - частота i - ой спектральной составляющей информативного сигнала;(pHoi), Eшi (pHшi), дБ - измеренные уровни напряженности электромагнитного поля по электрической (магнитной) составляющей при работе основных технических средств и систем в тестируемом режиме и при выключении основных технических средств и систем, соответственно;сi (pHсi), мкВ/м - рассчитанные уровни напряженности электромагнитного поля по электрической (магнитной) составляющей, создаваемые информативным сигналом;, м - радиус контролируемой зоны для i - ой спектральной составляющей информативного сигнала.

Уровни напряженности электромагнитного поля по магнитной составляющей, согласно документу «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», измеряются в диапазоне частот от 9 КГц до 30 МГц.

Уровни напряженности электромагнитного поля по электрической составляющей измеряются в диапазоне частот от 9 КГц до 1000 МГц.

Измерения по электрической и магнитной составляющим электромагнитного поля проводились в дБ относительно 1 мкВ/м в полосе частот 200 Гц для диапазона 9 - 150 КГц, 9 КГц для диапазона 0,15 - 30 МГц и 100 КГц для диапазона свыше 30 МГц.

Для вычисления уровня напряженности электромагнитного поля по электрической (магнитной) составляющей, создаваемым информативным сигналом используем следующую формулу:

К значению  прибавляем колибровачные данные антенны в величине 22 дБ, погрешность антенны - 2 дБ и погрешность приемника - 2 дБ. В результате чего получается .

С помощью формулы (1) вычисляем .

, дБ.

Переведем из полученное значение из дБ в мкВ/м по формуле:

.(2)

Получаем:

 мкВ/м.

Пользуясь следующими формулами, находим границы ближней, промежуточной и дальней зон для частоты 53,3 МГц:

, м,(4)

, м,(5)

где  - расстояние от компьютеров до границы ближней и промежуточной зон, м;

 - расстояние от компьютеров до границы промежуточной и дальней зон, м;

 - частота спектральной составляющей информативного сигнала, МГц.

Получаем:

, м,

и

, м.

Пользуясь формулой (3), вычисляем радиус контролируемой зоны.

 м.

Аналогично производим расчеты для всех остальных измеренных частот остальных ЭВМ.

Таким образом, радиус требуемой контролируемой зоны для исследуемых компьютеров представлено в таблице 4.

Таблица 4 - Радиус требуемой контролируемой зоны

Расстояние ЭВМ ООО «Технология защиты от границы КЗ больше чем радиус распространения информативного сигнала по ПЭМИ, поэтому применение мер и средств защиты информации не требуется.

Для выявления электрических каналов утечки информации измерениям подвергается информативный сигнал, наведенный от ЭВМ, на линии, приведенные в таблице 5, расположенные совместно с компьютерами.

Таблица 5 - Лини имеющиеся в ООО «Технология защиты»

Для проведения измерений на компьютерах запускались тест - сигналы, создаваемые специализированной тестирующей программой и с помощью средств измерений, приведенных в таблице 6, проводились измерения.

Таблица 6 - Средства измерений

Информативный сигнал измерялся на частотах обнаруженных информативных побочных электромагнитных излучений в диапазоне 0,1….250 МГц путем подключения измерительного пробника, соединенного со входом анализатора спектра к линиям вспомогательных технических средств и систем (см. Табл. 6).

Результаты измерений наведенного информативного сигнала и расчета значения допустимого пробега линий (коммуникаций) до границы контролируемой зоны представлены в таблице 7.

Таблица 7 - Результаты измерений

Наводка информативного сигнала на линию пожарной сигнализации на фоне естественных помех сигнал не обнаружен.

В таблице используются следующие обозначения:, МГц - частота i - ой спектральной составляющей информативного сигнала;(c+ш)i дБ - напряжение смеси обнаруженных компонент тест - сигнала и шума;шi дБ - шум в линии;сi дБ - напряжение сигнала в линии;измi мкВ - напряжение специально созданного сигнала, измеренное на частоте Fi исследуемой линии в непосредственной близости от ОТСС;измi мкВ - напряжение специально созданного сигнала, измеренное на частоте Fi исследуемой линии, на некотором удалении от ОТСС;

КПi дБ/м - коэффициент погонного затухания наведенных сигналов в исследуемой линии;м - максимальная длина пробега исследуемой линии, на которой возможно выделение информативного сигнала;кз м - реальный пробег исследуемой линии до границы контролируемой зоны.

Исследования проводились в полосе частот 9 КГц для диапазона до 30 МГц и 100 КГц для диапазона свыше 30 МГц.

По формуле (6) рассчитываем значение напряжения сигнала  в точке подсоединения измерительного пробника к линии для каждой частотной компоненты:

 дБ.

По формуле

рассчитываем показатель защищенности в точке проведения измерений для каждой из частных компонент.

По формуле

, дБ/м,(8)

рассчитываем величину коэффициента погонного затухания наведенных сигналов в исследуемой линии.  - протяженность линии между точками, где было измерено и

 дБ/м.

, м.

Аналогично проводим измерения на всех остальных частотах для всех остальных ЭВМ.

Результаты измерений и сравнение их с допустимыми значениями приведены в итоговой таблице 8.

Таблица 8 - Результаты измерений и сравнение их с допустимыми значениями

Таким образом, в результате анализа всех технических каналов утечки информации выделены следующие актуальные угрозы:

наблюдение объекта злоумышленником через открытую дверь;

наблюдение объекта злоумышленником через окно;

перехват информативного сигнала от побочных электромагнитных наводок на линии питания.

Общая схема всех выявленных технических каналов утечки представлена в приложении З.

2.5 Оценка защищенности сведений циркулирующих в средствах обработки, хранения и передачи информации ООО «Технология защиты»

Система защиты информации компании должна быть экономически целесообразной. Эффективность определяется с помощью различных показателей, при этом сопоставляются данные, выражающие эффект (прибыль, объем производства, экономия от снижения издержек) с затратами обеспечивающими этот эффект (капитальные вложения, текущие издержки).

Расчет экономического эффекта и эффективности защиты информации основывается на выявлении ущерба, нанесенного владельцу информации противоправным ее использованием и позволяет оценить результативность защиты информации. Проведя анализ результатов расчетов, возможно внести изменения в систему защиты информации для более эффективной ее защиты, недопущения разглашения охраняемой информации в дальнейшем, т.к. разглашение данной информации влечет за собой огромные убытки (ущерб) от контрафактного ее использования злоумышленником.

Т.к. на сегодняшний день не существует определенной расценки сведений конфиденциального характера, поэтому, собрав комиссию из 4-х человек, куда входили директор, заместитель директора, начальник первого отдела и начальник отдела криптографической защиты, выделили, в зависимости от степени важности и ценности информации, три грифа конфиденциальности: базовый, расширенный и усиленный. Каждому грифу конфиденциальности установили свою условную цену единице информации (Мбайт):

базовый - 50 руб.;

расширенный - 500 руб.;

усиленный - 2000 руб.

Стоимость защищаемой информации определяется в соответствии с формулой:

Ц = V * Z,(10)

где Ц - цена защищаемой информации в условных единицах;- объём защищаемой информации в мегабайтах;- цена за 1 Мбайт информации.

Если объем информации в электронном и бумажном виде дополняют друг друга, то мы учитываем наибольший объем.

Стоимости и объем элементов информации представлены в таблице 9.

Таблица 9 - Объем и стоимость элементов информации

И так в средствах обработки, хранения и передачи информации ООО «Технология защиты» циркулирует информация вычисленной экспертной оценкой на общую сумму в 1 193 500 рублей.

При анализе технических каналов утечки информации обрабатываемых в компьютерах Общества выяснилось, что есть место существовать оптическим и радиоэлектронным каналам. И существует большая вероятность утечки сведений конфиденциального характера по данным техническим каналам, которая может повлечь за собой так же и большой ущерб. Поэтому проектирование и построение системы защиты сведений циркулирующих в средствах обработки, хранения и передачи информации от утечки по техническим каналам является целесообразной.

3. ПРОЕКТИРОВАНИЕ ТЕХНИЧЕСКОЙ ЗАЩИТЫ СВЕДЕНИЙ ЦИРКУЛИРУЮЩИХ В СРЕДСТВАХ ОБРАБОТКИ, ХРАНЕНИЯ И ПЕРЕДАЧИ ИНФОРМАЦИИ

.1 Обоснование технических средств защиты информации

На сегодняшний день на рынке по защите информации имеется широкий выбор средств защиты от утечки по техническим каналам. В зависимости от предъявленных требований Общество может выбрать себе средство защиты информации наиболее подходящее ей.

Той или иной выбор средств защиты информации осуществляется на основе нормативного документа «Специальные требования и рекомендации по защите конфиденциальной информации».

При анализе всех технических каналов утечки информации циркулирующих в компьютерах ООО «Технология защиты», было выявлено, что есть место быть оптическим и радиоэлектронным каналам. А именно:

наблюдение объекта злоумышленником через открытую дверь;

наблюдение объекта злоумышленником через окно;

перехват информативного сигнала от побочных электромагнитных излучений.

Для полной защиты информации Общества потребуются локализовать все выявленные угрозы.

Для защиты информации от утечки по оптическим каналам, а именно для локализации угрозы просмотра конфиденциальной информации через окна в ООО «Технология защиты» необходимо установка жалюзи (вертикальные, горизонтальные). Они не только исключают возможность наблюдения через окно, но и эффективны по основному назначению - защите от солнечных лучей. Злоумышленник в силу своих физических способностей не в состоянии будет увидеть за плотной тканью жалюзи объект наблюдения. Простой и дешевый способ защиты от оптического наблюдения.

В настоящее время на рынке огромный выбор различных видов жалюзи. Как и для всех коммерческих организаций, для которых главная цель получение максимальной прибыли с минимальными затратами, основным критерием выбора жалюзи является цена.

В таблице 10 перечислены основные модели жалюзи и их цена.

Таблица 10 - Список моделей жалюзи и их цена

В Обществе окна большого размера, и общая стоимость может быть большой, поэтому выбор падет на тканевые жалюзи компании «ЖалюзиТорг». Площадь окон куда нужна установка жалюзи в ООО «Технология защиты» составляет 18 м2. Следовательно, стоимость жалюзи с установкой на окна составит 8 424 рубля.

Для предотвращения наблюдения через приоткрытую дверь целесообразно применить доводчик двери, который плавно закрывает дверь после ее открытия, а так же разместить рабочие места с компьютерами таким образом, чтобы с коридора не было возможным просматривать мониторы.

На рынке имеется множество разновидностей доводчиков дверей. На сегодняшний день доводчики с зубчатым приводом являются наиболее распространенной. При выборе доводчика главной составляющей является цена. В таблице 11 приведены различные модели доводчиков дверей, из них будет выбран один, который будет являться одним из ступеней проектирование системы защиты сведений конфиденциального характера обрабатываемых в ЭВМ ООО «Технология защиты» от утечки по техническим каналам.

Таблица 11 - Перечень доводчиков двери

Т.к. вес двери, на которую необходимо установка доводчика составляет 35 кг и по цене приемлема, выбор будет сделан на модель «DC210 X X10000».

Общая цена с установкой доводчика двери составит 728 рублей.

Для предотвращения перехвата информативного сигнала от побочных электромагнитных наводок на лини питания необходима установка специальных средств защиты, таковыми являются генераторы шума.

Перехват информативного сигнала от побочных электромагнитных наводок на сегодняшний день очень актуален, поэтому рынок средств защиты информации от ПЭМИН богат выбором. В таблице 12 представлены наиболее подходящие генераторы шума.

Таблица 12 - Список генераторов шума

Из всех рассмотренных средств защиты от ПЭМИН было выбран генератор шума «ГШ-К-1000М». При выборе данного средства защиты информации не только учитывался такой фактор как цена, но и наличие сертификата ФСТЭК.

Стоимость генератора шума «ГШ-К-1000М» составляет 8 750 рублей. ООО «Технология защиты» предоставляет спектр услуг в области защиты информации, к таковым относиться и аттестация компьютеров, куда входит и защита от ПЭМИН. Поэтому установку генератора шума могут провести сами сотрудники Общества.

3.2 Определение мест размещения средств защиты информации

Согласно плану помещения ООО «Технология защиты», приведенных во второй главе и схемам расположения ЭВМ, разработаем план расположения всех компьютеров и средств защиты информации.

Для защиты конфиденциальных сведений циркулирующих в средствах обработки, хранения, и передачи информации от утечки по техническим канала в ООО «Технология защиты» следует применить следующие средства:

тканевые жалюзи компании «ЖалюзиТорг»;

доводчик двери модели «DC210 X X10000»;

генератор шума «ГШ-К-1000М».

Плата генератора «ГШ-К-1000М» устанавливается в свободный слот шины PCI или ISA материнской платы компьютера.

Так же для предотвращения утечки информации по оптическим каналам необходимо расположить ЭВМ в кабинете отдела технической защиты информации таким образом, что бы нельзя было просматривать с двери.

План расположения всех ЭВМ и средств защиты представлен на рисунке 5.

Рисунок 5 - Расположение всех ЭВМ и средств защиты

3.3 Разработка системы управления информационной безопасности

Управление представляет собой специфический вид трудовой деятельности. Оно выделилось в особую разновидность труда вместе с кооперацией и разделением труда. В условиях кооперации каждый производитель выполняет только часть общей работы, поэтому для достижения общего результата требуются усилия по соединению, согласованию деятельности всех участников совместного трудового процесса. Управление устанавливает согласованность между индивидуальными работами и выполняет общие функции, вытекающие из движения организации в целом. В этом качестве управление устанавливает общую связь и единство действий всех участников совместного процесса производства для достижения общих целей организации. Такова сущность процесса управления [12, с. 246].

Таким образом, при построении системы защиты информации, большое значение имеет разработка концепции управления информационной безопасности. Т.к. от контроля и хорошего управления зависит эффективное функционирование созданной системы защиты информации.

В данном дипломном проекте проводится проектирование системы технической защиты сведений циркулирующих в средствах обработки, хранения и передачи информации в ООО «Технология защиты». Путем анализа рынка средств защиты информации были выбраны наиболее подходящие и приемлемые для защиты от выявленных технических каналов утечки в ООО «Технология защиты». Были выбраны места размещения данных средств защиты информации и применены различные методы.

Как показывает практика, создание системы защиты информации это часть работы, еще и необходимо качественное управление для эффективной работы.

Ответственным за разработку и реализацию политики управления информационной безопасностью является директор ООО «Технология защиты», который отвечает за ее реализацию и пересмотр в соответствии с установленной процедурой. Указанная процедура обеспечивает осуществление пересмотра политики управления информационной безопасностью в соответствии с изменениями, влияющими на основу первоначальной оценки риска, появление новых уязвимостей или изменения организационной или технологической инфраструктуры. Периодические пересмотры должны осуществляться ежегодно и включать:

определение стоимости мероприятий по управлению информационной безопасностью;

оценку влияния изменений в технологиях.

Для координации внедрения мероприятий по управлению информационной безопасностью в организации создается совет, включающий руководителей подразделений Общества:

начальник отдела технической защиты;

начальник отдела криптографической защиты;

начальник первого отдела;

начальник коммерческого отдела.

Задачи совета:

согласовывает конкретные функции и обязанности в области информационной безопасности в рамках всей организации;

согласовывает конкретные методики и процедуры информационной безопасности, например, такие как оценка рисков, классификация информации с точки зрения требований безопасности;

согласовывает и обеспечивает поддержку инициатив и проектов в области информационной безопасности в рамках всей организации, например, таких как разработка программы повышения осведомленности сотрудников в области безопасности;

обеспечивает учет включения требований безопасности во все проекты, связанные с обработкой и использованием информации;

проводит анализ инцидентов нарушения информационной безопасности;

способствует демонстрации поддержки информационной безопасности со стороны руководства организации [22, с. 54].

На директора ООО «Технология защиты» возлагается ответственность за разработку и внедрение системы управления информационной безопасностью, а также за оказание содействия в определении мероприятий.

Руководители структурных подразделений Общества несут ответственность за определение подлежащих защите ресурсов и реализацию мероприятий по управлению информационной безопасностью в подразделениях организации. В каждом подразделении назначается ответственное лицо (администратора) для каждого информационного актива, в чьи повседневные обязанности входит обеспечение безопасности данного актива.

Приказом директора ООО «Технология защиты» определяются:

информационные активы и процессы (процедуры) безопасности, связанные с каждой отдельной автоматизированной системой,

ответственные за эксплуатацию и обеспечение безопасности каждой автоматизированной системы;

уровни полномочий (авторизации) пользователей автоматизированных систем.

Все основные информационные активы должны быть учтены и закреплены за ответственными лицами приказом директора Общества. Приказ должен идентифицировать владельцев всех основных активов и определить их ответственность за поддержание соответствующих мероприятий по управлению информационной безопасностью. Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть указано фактическое местоположение актива.

Информационными активами, связанными с информационными системами, являются:

информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;

активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;

услуги: вычислительные услуги и услуги связи, основные коммунальные услуги (отопление, освещение, электроэнергия, кондиционирование) [44, с. 68].

С целью обеспечения защиты на надлежащем уровне информационных активов информацию следует классифицировать, чтобы определить ее приоритетность, необходимость и степень ее защиты. Конфиденциальная информация требует дополнительного уровня защиты или специальных методов обработки. Классификация информации позволяет определить, как эта информация должна быть обработана и защищена. Система классификации информации используется для определения соответствующего множества уровней защиты и потребности в специальных методах обработки.

Для проведения классификации автоматизированных систем ООО «Технология защиты» приказом директора создается комиссия. Результатом работы комиссии является Акт классификации автоматизированной системы.

Система доступа представляет собой совокупность норм и правил, определяющих, кто из руководителей организации, кому из пользователей и с какими категориями документов может давать разрешение на ознакомление [45, с. 77].

Система доступа должна отвечать следующим требованиям:

доступ к конфиденциальным документам может предоставляться сотрудникам, письменно оформившим с организацией отношения о неразглашении ставших им известными конфиденциальных сведений. Письменное оформление отношений о неразглашении конфиденциальной информации (соблюдения режима конфиденциальности) является обязательным условием для доступа исполнителей к документам;

доступ к конфиденциальным документам должен быть обоснованным, т.е. базироваться на служебной необходимости ознакомления с конкретным документов именно данного исполнителя;

система доступа должна давать возможность обеспечивать исполнителей всеми необходимыми им в силу служебных обязанностей документами, но только теми, которые действительно необходимы для выполнения конкретного вида работ;

доступ к документам должен быть санкционированным, т.е. осуществляться только по соответствующему разрешению уполномоченного на то должностного лица. При этом соответствующее должностное лицо может давать разрешение на ознакомление с документами только входящими в сферу его деятельности и только установленному кругу лиц;

доступ должен оформляться письменно по каждому конкретному конфиденциальному документу. При необходимости ознакомления исполнителя только с частью документа в разрешении на ознакомление должны быть указаны разделы (пункты или страницы), с которыми можно знакомить исполнителя [30, с. 101].

Доступ работников Общества к конфиденциальной информации осуществляется на добровольной основе. Эти отношения устанавливаются при приеме гражданина на работу или уже в ходе трудовых отношений. При этом необходимо выполнить следующие условия:

ознакомить работника под роспись с перечнем конфиденциальной информации;

ознакомить работника под роспись с установленным в организации режимом по охране конфиденциальности и с мерами ответственности за его нарушение;

создать работнику необходимые условия для соблюдения им установленного режима по охране конфиденциальности [29, с. 204].

Права сотрудников на доступ к конфиденциальной информации и работу с ее носителями регулируются разрешениями полномочных должностных лиц, оформленными в письменном (документальном) виде.

Оформление таких разрешений осуществляется:

директором ООО «Технология защиты» в виде приказа о допуске к конфиденциальной информации;

руководителями структурных подразделений Общества в отношении непосредственно подчиненных им сотрудников.

Именные (должностные) списки сотрудников, допускаемых к конфиденциальной информации, в обязательном порядке содержат должности и фамилии сотрудников и категории сведений (документов), к которым они допускаются.

Разрешение может оформляться непосредственно на документе (носителе информации) в виде резолюции (поручения), адресованного конкретному сотруднику; либо посредством указания (перечисления) в организационно-плановых и иных документах предприятия сотрудников (их фамилий), которые при решении конкретных производственных и иных задач должны быть допущены к конфиденциальной информации.

Функции (роли) и ответственность в области информационной безопасности, должны быть документированы. В должностные инструкции следует включать как общие обязанности по внедрению или соблюдению политики безопасности, так и специфические особенности по защите определенных активов или действий, касающихся безопасности.

Обязанности всех сотрудников организации утверждаются директором ООО «Технология защиты».

Руководители структурных подразделений обязаны:

ознакомить под расписку работника, которому для выполнения его трудовых обязанностей нужен доступ к информации, распространение которой в Российской Федерации ограничивается или запрещается, с перечнем информации, составляющей конфиденциальную информацию, обладателями которой является ООО «Технология защиты»;

создать работнику необходимые условия для соблюдения им установленного порядка организации и проведения работ по защите конфиденциальной информации в ООО «Технология защиты».

Проверки сотрудников, принимаемых в постоянный штат, следует выполнять по мере подачи заявлений о приеме на работу. В них необходимо включать следующее:

наличие положительных рекомендаций, в частности в отношении деловых и личных качеств претендента;

проверка (на предмет полноты и точности) резюме претендента;

подтверждение заявляемого образования и профессиональных квалификаций;

независимая проверка подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа).

Все сотрудники организации и представители третьей стороны, использующие средства обработки, хранения и передачи информации Общества, должны подписывать соглашение о конфиденциальности (неразглашении).

Соглашения о конфиденциальности или соглашения о неразглашении используются для уведомления сотрудников о том, что информация является конфиденциальной. Сотрудники должны подписывать такое соглашение как неотъемлемую часть условий трудового договора.

Временные сотрудники и представители третьих сторон, не попадающие под стандартный трудовой договор (содержащий соглашение о соблюдении конфиденциальности), должны подписывать отдельно соглашение о соблюдении конфиденциальности до того, как им будет предоставлен доступ к средствам обработки информации.

Условия соглашения должны определять ответственность служащего в отношении информационной безопасности. Эта ответственность должна сохраняться и в течение определенного срока (три года) после увольнения с работы.

В соглашении необходимо указать меры дисциплинарного воздействия, которые будут применимы в случае нарушения сотрудником требований безопасности.

С целью обеспечения уверенности в осведомленности пользователей об угрозах и проблемах, связанных с информационной безопасностью, и их оснащенности всем необходимым для соблюдения требований управления политики безопасности организации при выполнении служебных обязанностей, пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы свести к минимуму возможные риски безопасности [39, с. 251].

При обработке данных в АС необходимо руководствоваться руководящим документом «Положение по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах и защищаемых помещениях», утвержденным директором ООО «Технология защиты».

Все сотрудники должны быть осведомлены о процедурах информирования о различных типах инцидентов нарушения информационной безопасности (нарушение безопасности, угроза, уязвимость системы или сбой), которые могли бы оказать негативное влияние на безопасность активов организации. Сотрудники должны немедленно сообщать о любых наблюдаемых или предполагаемых инцидентах определенному своему непосредственному руководителю или администратору безопасности.

Перед началом работы в АС пользователи должны ознакомиться с инструкциями по использованию программных и технических средств, по использованию средств защиты информации под роспись.

Пользователи должны продемонстрировать администратору безопасности и (или) ответственному за защиту информации наличие необходимых знаний и умений для выполнения требований. Администратор безопасности должен вести журнал учета проверок знаний и навыков пользователей.

Пользователи, демонстрирующие недостаточные знания и умения для обеспечения безопасности конфиденциальных данных в соответствии с требованиями, к работе в АС не допускаются.

Ответственным за организацию обучения и оказание методической помощи в организации является администратор безопасности.

К работе в АС допускаются только сотрудники прошедшие первичный инструктаж ОБ в АС и показавшие твердые теоретические знания и практические навыки, о чём делается соответствующая запись в Журнале учёта допуска к работе в АС.

3.4 Оценка эффективности разработанной системы технической защиты средств обработки, хранения и передачи информации

В третьей главе производилась разработка системы технической защиты сведений циркулирующих в средствах обработки, хранения и передачи информации в ООО «Технология защиты». Для оценки эффективности созданной системы защиты информации необходим снова анализ технических каналов утечки информации.

Как уже упоминалось во второй главе, основным классификационным признаком технических каналов утечки информации является физическая природа носителя. По этому признаку они делятся на:

оптические;

радиоэлектронные;

акустические;

материально-вещественные.

Возможность утечки сведений конфиденциального характера по акустическим каналам невозможна т.к. ввод и обработка информации не проводиться голосовыми командами.

Утечки по материально - вещественным каналам так же отсутствует, потому что вышедшие из строя магнитные и иные носители информации ЭВМ, на которых во время эксплуатации содержалась информация с ограниченным доступом, уничтожаются механическим способом, путем физического разрушения.

Для защиты от выявленных оптических каналов утечки информации в ООО «Технология защиты» были применены различные средства и методы информации. Возможность просмотра или фотографирования через окна, двери отсутствует. Поэтому оптически канал утечки информации можно считать полностью локализованным.

Для оценки радиоэлектронного канала утечки необходимо произвести соответствующие измерения АРМ - 7, т.к. при первичном анализе было выявлено что только с данного компьютера возможен перехват информативного сигнала от побочных электромагнитных наводок на линии питания.

Результаты измерений наведенного информативного сигнала и расчета значения допустимого пробега линий (коммуникаций) до границы контролируемой зоны представлены в таблице 13.

Таблица 13 - Результаты измерений

Результаты измерений и сравнение их с допустимыми значениями приведены в итоговой таблице 14.

Таблица 14 - Результаты измерений

Таким образом, возможность утечки конфиденциальной информации в ООО «Технология защиты» по радиоэлектронным каналам локализована.

Исходя из анализа технических каналов утечки информации, можно сделать вывод, что все существующие угрозы локализованы. И на данный момент возможность утечки отсутствует.

Путем экспертной оценки было выяснено, что в средствах обработки, хранения и передачи информации ООО »Технология защиты» циркулирует информация на общую сумму в 1 193 500 рублей.

Закупка, установка и настройка средств защиты информации обойдется для ООО »Технология защиты» в 17 902 рубля.

Чистая годовая прибыль ООО «Технология защиты» в среднем составляет порядка 4-5 миллионов, что в пару десятков раз больше суммы необходимой для создания системы защиты информации.

Исходя из вышесказанного, можно сделать вывод, о том, что спроектированная система технической защиты сведений циркулирующих в средствах обработки, хранения и передачи информации в ООО «Технология защиты» эффективна и сумма, необходимая для реализации проекта, незначительная.

Заключение

информационный безопасность система управление

В данном дипломном проекте разрабатывалась система технической защиты сведений, циркулирующих в средствах обработки, хранения и передачи информации в ООО «Технология защиты». При тщательном анализе всех технических каналов утечки конфиденциальной информации с ЭВМ Общества были выявлены следующие угрозы:

наблюдение объекта злоумышленником через открытую дверь;

наблюдение объекта злоумышленником через окно;

перехват информативного сигнала от побочных электромагнитных излучений.

Путем экспертной оценки выявили, что в средствах обработки, хранения и передачи информации ООО «Технология защиты» циркулируют сведения конфиденциального характера на общую сумму в 1 193 500 рублей.

При оценке защищенности сведений конфиденциального характера была доказана целесообразность и необходимость построения системы защиты информации циркулирующей в компьютерах Общества от утечки по техническим каналам.

При анализе рынка средств защиты информации, были выбраны соответствующие, наиболее подходящие и приемлемые. Т.к. ООО «Технология защиты» коммерческая компания и главная ее цель - получение наибольшей прибыли, то главным критерием выбора средств защиты информации являлась цена, а так же наличие соответствующего сертификата ФСТЭК. Были выбраны следующие средства и методы защиты конфиденциальной информации:

тканевые жалюзи компании «ЖалюзиТорг»;

доводчик двери модели «DC210 X X10000»;

генератор шума «ГШ-К-1000М»;

размещение ЭВМ в кабинете отдела технической защиты информации таким образом, чтобы предотвратить несанкционированное ознакомление.

Были определены места размещения данных средств защиты и места нахождения компьютеров. А так же была разработана система управления информационной безопасностью в ООО «Технология защиты».

Закупка, установка и настройка средств защиты информации обойдется для ООО «Технология защиты» в 17 902 рубля.

В результате была разработана система технической защиты средств обработки, хранения и передачи информации в ООО «Технология защиты».

Библиографический список

1.   Абалмазов Э.И. Методы и инженерно-технические средства противодействия информационным угрозам: учебник для вузов / Э.И. Абалмазов - М.: Гротек, 2009. - 248 с.

2.      Абалмазов Э.И. Методы и инженерно-технические средства противодействия информационным угрозам: учебник для вузов / Э.И. Абалмазов - М.: Гротек, 2006 г. - 248 с.

.        Андрианов В.И. Шпионские штучки и устройства для защиты объектов и информации: учебник для вузов / В.И. Андрианов, В.А. Бородин, А.В. Соколов. - СПб.: Лань, 2004. - 272 с.

.        Анин Б.Ю. Защита компьютерной информации. - СПб.: BHV-Санкт-Петербург» - 2008. - 384 с.

.        Баранов В.М. Защита информации в системах и средствах связи: учебное пособие для вузов / В.М. Баранов, Г.В. Вальков, М.А. Еремеев - Санкт- Петербург: ВИККА имени А.Ф. Можайского, 2007. - 113 с.

.        Бармен С.К. Разработка правил информационной безопасности / С. К. Бармен - М.: Издательский дом «Вильямс», 2007. - 208 с.

.        Вартанесян В.А. Радиоэлектронная разведка: учебник для вузов / В.А. Вартанесян - М: Военное издательство, 2007. - 200 с.

.        Василевский И.В. Способы и средства предотвращения утечки информации по техническим каналам: учебник для вузов / И.В. Василевский - М.: НПЦ «Нелк», 2006.-200 с.

.        Введение в защиту информации: учеб. пособие / В.Б. Байбурин - М.: «Инфра-М», 2008. - 128 с.

.        Викторов А.Д. Побочные электромагнитные излучения персонального компьютера и защита информации. Защита информации: учебник для вузов / А.Д. Викторов, В.И. Генне, Э.В. Гончаров - 3 - е изд., М.: Москва, 2008. - 72 с.

.        Волгин М.Л. Паразитные связи и наводки: учебник для вузов / М.Л. Волгин - М.: Советское радио, 2008. - 300 с.

.        Галатенко В.А. Стандарты информационной безопасности: справ. пособие / В.А. Галатенко - М.: Интернет-университет информационных технологий, 2006. - 328 c.

.        Генне В.И. Защита информации от утечки через побочные электромагнитные излучения цифрового электромагнитного оборудования. Защита информации: учебник для вузов / В.И. Генне - 2 - е изд. - М.: Конфидент, 2006. - 95 с.

.        Герасименко В.А. Основы защиты информации: учеб. пособие. / В.А. Герасименко., А.А. Малюк - М.: МГИФИ, 2007. - 538 с.

.        Грибунин В.Г. Комплексная система защиты информации на предприятии: учебное пособие для вузов / В.Г. Грибунин, В.В. Чудовский. - М.: Издательский центр «Академия», 2009. - 416 с.

.        Диева С.А. Организация и современные методы защиты информации/ С.А. Диева - М.: Концерн «Банковский деловой центр», 1998. - 472с.

.        Зайцев А.П. Техническая защита информации: учебник для вузов / А.П. Зайцев, А.А. Шелупанов. - М.: Горячая линия - Телеком, 2007. - 616 с.

.        Куприянов А.И. Основы защиты информации: учеб. Пособие для студ. высш. учеб. заведений/ А.И. Куприянов, А.В. Сахаров, В.А. Шевцов - М.: Издательский центр «Академия», 2006. - 256 с.

.        Лунегов А.Н. Технические средства и способы добывания и защиты информации: учебник для вузов / А.Н. Лунегов. - М.: ВНИИ «Стандарт», 2009. - 95 с.

.        Мироничев С.К. Коммерческая разведка и контрразведка или промышленный шпионаж в России и методы борьбы с ними: учебник для вузов / С.К. Мироничев. - М.: «Дружок», 2005. - 89 с.

.        Опарина М.В. Защита информации: учебник для вузов / М.В. Опарина.- М.: Смарт, 2001. - 157 с.

.        Петраков А.В. Защита и охрана личности и информации: справочное пособие / А.В. Петраков. - М.: Радио и связь, 2002. - 94 с.

.        Петраков А.В. Основы практической защиты информации: учебное пособие / А.В. Петраков - М.: Радио и связь, 2004.-368с.

.        Петраков А.В. Основы практической защиты информации: учебное пособие для вузов / А.В. Петраков - М.: Радио и связь, 2008. - 203 с.

.        Поляков А.В. Промышленный шпионаж и как с ним бороться. Мы и безопасность: учебник для вузов / А.В. Поляков. - М.: Литера, 2006.- 95 с.

.        Попов Л.И., Зубарев А.В. Основные принципы повышения эффективности реализации мероприятий по комплексной защите информации. «Альтпресс», 2009. -512c.

.        Расторгуев С.П. Абсолютная система защиты: учебник для вузов / С.П. Расторгуев. - М.: Литера, 2006. - 130 с.

.        Семененко В.А. Информационная безопасность: учебное пособие для вузов / В.А. Семененко - М.: ЦНТИ, 2004. - 144 с.

.        Семкин С.Н. Защита информации. Основы информационной безопасности объектов: курс лекций / С.Н. Семкин - Орел.: ВИПС, 2000. - 269 с.

.        Сидорин Ю.С. Технические средства защиты информации: учеб. пособие / Ю.С. Сидорин - СПб.: Изд-во Политехн. ун-та, 2005. - 141 с.

.        Смирнова А.Н. Защита информации: учебник для вузов / А.Н. Смирнова. - М.: Смарт, 2002. - 176 с.

.        Стрельцов А.А. Обеспечение информационной безопасности России / Под ред. В.А. Садовничего и В.П. Шерстюка - М.:МЦНМО, 2002. - 296с.

.        Тедеев А.А. Информационное право: учебник для вузов / А.А. Тедеев - М.: Эксмо, 2005. - 464 с.

.        Тимец Б.В. Сделайте свой оффис безопасней: учебник для вузов / Б.В. Тимец. - М.: Конфидент, 2006. - 100 с.

.        Титоренко Г.А. Информационные технологии управления: учеб. пособие для вузов / Г.А. Титоренко. - М.: ЮНИТИ-ДАНА, 2008. - 439 с.

.        Торокин А.А. Основы инженерно - технической защиты информации: учебник для вузов / А.А. Торокин. - М.: Издательство «Ось», 1998. - 336 с.

.        Халяпин Д.Б. Защита информации. Вас подслушивают? Защищайтесь!: учебник для вузов / Д.Б. Халяпин. - 2-е изд., испр. и доп. - М.: НОУ ШО «Баярд», 2004. - 432с.

.        Халяпин Д.Б. Основы защиты промышленной и коммерческой информации. Термины и определения: учебник для вузов / Д. Б. Халяпин, В.И. Ярочкин. - М.: ИПКИР, 2004. - 170 с.

.        Хорев А.А. Защита информации от утечки по техническим каналам. Часть 1. Технические каналы утечки информации: учебник для вузов / А.А. Хореев. - М.: Гостехкомиссия РФ, 2000. - 320 с.

.        Хорев А.А. Способы и средства защиты информации: учебник для вузов / А.А. Хореев. - М.: МО РФ, 2000. - 316 с.

.        Цуканова О.А. Экономика защиты информации: учебное пособие / О.А. Цуканова, С.Б. Смирнова. - СП6.: СП6 ГУИТМО, 2007. - 59 с.

.        Черняков М.В., Петрушин А.С. Основы информационных технологий. Учебник для вузов: - М.: ИКЦ «Академкнига», 2007. - 345 с.

.        Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2010. - 458 с.

.        Шрамков И.Г. Защита и обработка конфиденциальных документов: учеб. пособие / И.Г. Шрамков, Ю.Г. Крат. - Хабаровск: Изд-во ДВГУПС, 2008. - 500 с.

.        Яковлев П.А. Защита информации: учебник для вузов / П.А. Яковлев.- М.: Пресс, 2005 - 120 с.

.        Ярочкин В.И. Технические каналы утечки информации: учебник для вузов / В.И. Ярочкин. - М.: ИПКИР, 2004. - 106 с.

.        Ярочкин В.И. Основы защиты информации. Служба безопасности предприятия: учебник для вузов / В.И. Ярочкин, Д.Б. Халяпин. - М.: ИПКИР, 2003. - 42 с.

.        Ярочкин В.И. Система безопасности фирмы: учебник для вузов / В.И. Ярочкин. - М.: «Ось-89», 2007 - 192 с.

.        Ярочкин В.И. Словарь терминов и определений по безопасности инормации: учебник для вузов / В.И. Ярочкин, Т.А. Шевцова. - М.: «Ось-89», 2006. - 48 с.

.        Ярочкин В.И. Безопасность информационных систем: учебник для вузов / В.И. Ярочкин. - М.: «Ось-89», 2007 - 192 с.