Модернизация системы защиты информации от утечки для Торгово-промышленной палаты Оренбургской области
Министерство
образования и науки Российской Федерации
Федеральное
государственное бюджетное
образовательное
учреждение
высшего
профессионального образования
«Оренбургский
Государственный Университет»
Факультет
информационных технологий
Кафедра
вычислительной техники и защиты информации
КУРСОВОЙ
ПРОЕКТ
по курсу
«Проектирование систем информационной безопасности»
Модернизация
системы защиты информации от утечки для торгово-промышленной палаты
Оренбургской области
ОГУ
10.03.01.6015.016 П
Руководитель
______________ Т.З. Аралбаев
Исполнители
студент группы 12ИБ(б)ОТЗ-2
______________ А.С. Кусакина
Оренбург 2015
Содержание
Введение
.
Постановка задачи
.
Актуальность задачи защиты информации от утечки за счет ПЭМИН для
Торгово-промышленной палаты Оренбургской области
.
Характеристика задачи системы защиты информации от утечки за счет ПЭМИН в ТПП
Оренбургской области
.
Аналитический обзор публикаций по защите информации от утечки за счет ПЭМИН для
Торгово-промышленной палаты Оренбургской области
.
Требования к решению задачи защиты информации от утечки за счет ПЭМИН для
Торгово-промышленной палаты Оренбургской области
.
Технико-экономическое обоснование на проект
.1
Исследовать существующую систему защиты Торгово-промышленной палаты
Оренбургской области
.2
Модель угроз
.3
Модель нарушителя
.4
Экономический, социальный и технический эффекты
Заключение
Список
использованных источников
Введение
Информация играет важную роль в обеспечении всех
сторон жизнедеятельности общества, и особо важная информация всегда подлежала
защите от разглашения.
Одним из важных путей повышения эффективности противодействия перехвату
информации является проведение специальных исследований и контроля защищенности
информации, циркулирующей на объекте, от утечки и правильного и своевременного
выполнения мероприятий по ее защите. Такие работы включают в себя процесс
получения и обработки информации о состоянии объекта наблюдения, в сравнении ее
с предъявленными к нему требованиями и обеспечивают принятие решений или выдачу
управляющих воздействий.
Следует отметить, что технический контроль принятых мер противодействия
перехвату информации отличается некоторыми особенностями. Это объясняется тем,
что перехват ПЭМИН занимает особое место среди других видов информационных
технических разведок, так как для получения сведений ею используется перехват
информации за счет побочных процессов, которые лишь сопутствуют нормальной
работе технических средств и представляют собой паразитные явления по отношению
к его основным функциям.
Комплекс исследований, направленный на определение эффективности
проведенных работ по защите информации от утечки за счет побочных
электромагнитных излучений и технических средств, размещенных на объекте,
называется контролем.
Под эффективностью защиты понимается способность технического средства к
выполнению определенных функций, которая характеризуется некоторыми
параметрами, заданными нормативно-технической документацией. Если величины этих
параметров соответствуют установленным для них нормам, то изделие считается
защищенным; если хотя бы один параметр не соответствует нормам, то изделие
считается незащищенным.
Объектом исследования курсового проекта является помещение
Торгово-промышленной палаты Оренбургской области (ТПП Оренбургской области).
Предмет исследования - система противодействия утечке информации за счет
ПЭМИН.
Для написания данного проекта использовались научные работы следующих
авторов: Е.Б. Белова «Основы информационной безопасности», В.А. Петрова
«Информационная безопасность. Защита информации от несанкционированного доступа
в автоматизированных системах», В.Ф.Шаньгина «Защита компьютерной информации.
Эффективные методы и средства», В.И. Ярочкина «Информационная безопасность»,
Гостехкомиссия России, Москва, 2002, Временная методика оценки защищённости
конфиденциальной информации, обрабатываемой основными техническими средствами и
системами, от утечки за счёт наводок на вспомогательные технические средства и
системы и их коммуникации», Гостехкомиссия России, Москва, 2002.
1. Постановка задачи
Целью данной работы является повышение уровня системы
защиты информации от утечки за счет ПЭМИН для Торгово-промышленной палаты
Оренбургской области.
Для достижения поставленной цели необходимо решить
следующие задачи:
1. Обосновать актуальность задачи защиты информации от утечки за счет
ПЭМИН для Торгово-промышленной палаты Оренбургской области.
2. Дать характеристику задаче защиты информации от утечки за счет
ПЭМИН для Торгово-промышленной палаты Оренбургской области.
. Обосновать актуальность задачи защиты информации от утечки за
счет ПЭМИН для Торгово-промышленной палаты Оренбургской области.
. Провести аналитический обзор публикаций по защите информации от
утечки за счет ПЭМИН для Торгово-промышленной палаты Оренбургской области.
. Определить требования к решению задачи системы защиты информации
от утечки за счет ПЭМИН для Торгово-промышленной палаты Оренбургской области.
. Разработать технико-экономическое обоснование на курсовой
проект.
6.1 Исследовать существующую систему защиты Торгово-промышленной палаты
Оренбургской области.
6.2 Построить модель угроз для Торгово-промышленной палаты
Оренбургской области.
.3 Построить модель нарушителя для Торгово-промышленной палаты
Оренбургской области.
.4 Оценить экономический, технический и социальный эффект для
Торгово-промышленной палаты Оренбургской области.
2. Актуальность задачи защиты информации от
утечки за счет ПЭМИН для Торгово-промышленной палаты Оренбургской области
Актуальность данного исследования заключается в том, что побочные
процессы часто не оказывают заметного негативного влияния на работу
технического средства в целом и, как правило, не являются предметом
пристального внимания разработчиков аппаратуры широкого назначения. Поэтому без
результатов контроля соответствия технических средств специальным требованиям и
нормам невозможно принять правильное решение о достаточности принимаемых мер
для защиты информации от утечки или найти оптимальное решение с целью
исключения имеющих место недостатков.
Происходящие в техническом средстве побочные процессы и их влияние на
возможности предполагаемого объекта бывают столь сложными и неявными, что
иногда для выявления необходимых для контроля параметров необходимо проводить
теоретические и экспериментальные исследования.
Такие исследования защищенности информации, называемые часто специальными
исследованиями, заключаются в получении и использовании более полной как в
количественном, так и в качественном отношении информации об объекте наблюдения
и разработке при необходимости рекомендаций по защите информации от утечки.
К защищаемой информации относится информация, являющаяся предметом
собственности и подлежащая защите в соответствии с требованиями правовых
документов или требованиями, устанавливаемыми собственником информации. Это,
как правило, информация ограниченного доступа, содержащая сведения, отнесенные
к государственной тайне, а также сведения конфиденциального характера.
К техническим средствам передачи, обработки, хранения и отображения
информации ограниченного доступа (ТСПИ) относятся: технические средства автоматизированных
систем управления, электронно-вычислительные машины и их отдельные элементы, в
дальнейшем именуемые средствами вычислительной техники (СВТ); средства
изготовления и размножения документов; аппаратура звукоусиления, звукозаписи,
звуковоспроизведения и синхронного перевода; системы внутреннего телевидения;
системы видеозаписи и видеовоспроизведения; системы оперативно-командной связи;
системы внутренней автоматической телефонной связи, включая и соединительные
линии перечисленного выше оборудования и т.д. Данные технические средства и
системы в ряде случаев именуются основными техническими средствами и системами
(ОТСС).
Совокупность средств и систем обработки информации, а также помещений или
объектов (зданий, сооружений, технических средств), в которых они установлены,
составляет объект ТСПИ, который в некоторых документах называется объектом
информатизации.
3. Характеристика задачи системы защиты
информации от утечки за счет ПЭМИН в ТПП Оренбургской области
Характеристика ТПП Оренбургской области
Торгово-промышленная палата Оренбургской области является
негосударственной некоммерческой организацией, основанной на членстве
предприятий, предпринимателей и организаций области, призванной выражать
интересы предпринимательства во властных органах, на внутреннем и международном
рынках.
Целями Торгово-промышленной палаты Оренбургской области являются:
· развитие экономики и предпринимательской деятельности;
· интегрирование в мировую хозяйственную систему, привлечение
инвестиций в экономику Оренбургской области и развитие экспорта российских
товаров и услуг;
· формирование современной промышленной, финансовой и торговой
инфраструктуры;
· создание благоприятных условий для развития бизнеса;
· согласование интересов членов ТПП Оренбургской области, предпринимателей
и их объединений, представление и защита их интересов во взаимодействии с
органами власти и социальными партнерами.
Задачами палаты являются содействие развитию экономики Оренбургской
области, формированию современной промышленной, финансовой и торговой
инфраструктуры, созданию благоприятных условий для предпринимательской
деятельности, согласование и представление интересов всех ее членов,
предпринимателей и их объединений независимо от форм собственности,
подчиненности и местонахождения на территории Оренбургской области.
Торгово-промышленная палата Оренбургской области учреждена в июне 1995 года и
действует на основании Закона РФ «О торгово-промышленных палатах в Российской
Федерации».
В составе учредителей - ОАО «Оренбургнефть», ОАО «Уралэлектро», ОАО
«Оренбургасбест», ООО «Компания «Мехатроника», ООО НПФ «Экобиос», ЗАО «Велт»,
другие предприятия и предпринимательские структуры Оренбуржья.
В настоящее время Палата объединяет около 600 членов, среди них:
предприятия различных отраслей промышленности (металлургической, нефтяной,
машиностроительной, перерабатывающей, легкой, пищевой, сельскохозяйственной),
коммерческие и некоммерческие организации, учебные заведения, индивидуальные
предприниматели и крестьянско-фермерские хозяйства.
Торгово-промышленная палата Оренбургской области является членом
Торгово-промышленной палаты Российской Федерации и имеет ряд договоров о
сотрудничестве с Торгово-промышленной палатой стран СНГ и дальнего зарубежья.
План Торгово-промышленной палаты представлен на рисунке 1.
Рисунок
1 - План на местности ТПП Оренбургской области
На этом рисунке в качестве объекта защиты рассматривается ТПП
Оренбургской области. Данная организация находится во дворе, окруженная
зданиями. В непосредственной близости от ТПП Оренбургской области находится
неконтролируемая автомобильная стоянка, с которой может быть осуществлен
перехват электромагнитных излучений, выходящих за пределы контролируемой зоны.
Рисунок 2 - Организационная структура ТПП Оренбургской области
Организационная структура организации, которая представлена на рисунке 2,
является линейной.
Во главе организации стоит президент. У него в подчинении находятся
директора, вице-президенты и главный бухгалтер.
В процессе анализа информационных потоков, циркулирующих в организации,
можно изучить процессы возникновения, движения и обработки информации,
содержащие ПДн, коммерческую тайну, служебную тайну, конфиденциальную
информацию, как сотрудников организации, так и клиентов. Главный бухгалтер
координирует работу бухгалтерии и предоставляет бухгалтерские отчеты президенту
организации. Бухгалтерия предоставляет статистическую информацию в
контролирующие органы по формам, предусмотренным бухгалтерскими стандартами. Внутренняя
финансовая отчетность предоставляется главному бухгалтеру. Офис менеджер издает
распоряжения в пределах своей компетенции иным отделам и предоставляет отчеты
президенту организации. Юридический отдел предоставляет правовую информацию и
нормативные документы президенту Торгово-промышленной палаты Оренбургской
области. Информационные потоки ТПП Оренбургской области представлен на рисунке
3.
Рисунок 3 - Информационные потоки ТПП Оренбургской области
В таблице 1 представлен перечень основных документов, которые
обрабатываются в организации.
Таблица 1 - Перечень документов
Способ фиксации
|
|
Информация
производственного характера (коммерческая тайны)
|
|
Производственные
возможности предприятия
|
Бумажный и электронный
носители
|
|
Сведения о проектах и
перспективных планах.
|
Бумажный и электронный
носители
|
|
Структура цены
|
Бумажный и электронный
носители
|
|
Информация о финансовом и
имущественном состоянии организации (коммерческая тайны)
|
|
Имущественное положение
общества
|
Бумажный и электронный
носители
|
|
Сведения о деловых
партнерах, клиентах, посредниках, поставщиках и т.д.
|
Бумажный и электронный
носители
|
|
Информация о состоянии
кредитно-финансовой системы организации
|
Бумажный и электронный носители
|
|
Сведения об условиях
контрактов, соглашений, договоров и др.
|
Бумажный и электронный
носители
|
|
Информация о кадровом
составе организации (персональные данные)
|
|
Трудовые книжки и вкладыши
к ним
|
Бумажный и электронный
носители
|
|
Личные дела работников организации
|
Бумажный и электронный
носители
|
|
Личные карточки работников
и военнообязанных
|
Бумажный и электронный
носители
|
|
Документы о диагностике
профессиональной пригодности работников
|
Бумажный и электронный
носители
|
|
Пенсионные дела
|
Бумажный и электронный
носители
|
|
Данные ИСПДн сотрудников
Торгово-промышленной палаты Оренбургской области
|
Бумажный и электронный
носители
|
|
Трудовые договора
работников
|
Бумажный и электронный
носители
|
|
Данные ИСПДн клиентов
организации
|
Бумажный и электронный
носители
|
При движении документов, содержащих коммерческую тайну, конфиденциальную
информацию, ПДн, увеличивается число сотрудников, обладающих этими сведениями,
а также возрастают потенциальные возможности для утраты информации, ее
разглашения персоналом, утечки по техническим каналам, исчезновения носителя
этой информации. Утрата информации производственного характера и сведений о
финансовом и имущественном состоянии производственного объединения, может
привести либо к значительным финансовым потерям, либо к потере всего
предприятия. [11]
Для структурирования информации в качестве исходных
данных используются: перечень сведений, составляющих государственную, служебную
и коммерческую тайны, перечень источников информации в организации.
Структурирование информации производится путем классификации информации в
соответствии со структурой, функциями и задачами производственного объединения
с привязкой элементов информации к ее источникам.
Рисунок 4 - Структура ИС Торгово-промышленной палаты
Оренбургской области
В ИС «1С: Бухгалтерия» обработка информации происходит следующим образом:
. Сотрудник авторизуется на своем рабочем месте в ОС
MicrosoftWindows7.
. Сотрудник авторизуется в «1С: Бухгалтерия».
. Оператор вносит информацию о сотрудниках.
. Данные обрабатываются в Торгово-промышленной палате Оренбургской
области или отправляются в Федеральную налоговую службу.
Таблица 2 - Анализ технических средств
|
Наименование технических
средств
|
Описание
|
Место установки
|
Количество
|
|
IntelPentiumDualE2200
|
Системный блок
|
Все отделы
|
40
|
|
HPBL460c Gen8
|
Серевер БД«1С: Бухгалтерия»
|
Серверное помещение
|
1
|
|
HP BT2040
|
Терминал-сервер
|
Серверное помещение
|
1
|
|
HP Laser Jet Pro MFP
M125rnw
|
Принтер
|
Все отделы
|
17
|
|
Acer V223HQ
|
Монитор
|
Все отделы
|
40
|
|
Philips CD645
|
Стационарный телефон
|
17
|
Основным документом, регламентирующим вопросы защиты информации в ТПП
Оренбургской области, является приказ Гостехкомиссии России от 30 августа 2002
года № 282 «Специальные требования и рекомендации по технической защите
конфиденциальной информации» (СТР-К).
Данный документ содержит основные требования и рекомендации по
организации технической защиты конфиденциальной информации, является составной
частью системы защиты информации на предприятии и направлен на предотвращение
её утечки по техническим каналам за пределы контролируемой зоны. [1]
торговый
палата защита информация
4. Аналитический обзор публикаций по защите информации от утечки за
счет ПЭМИН для Торгово-промышленной палаты Оренбургской области
В.А. Артамонов, Е.В. Артамонова
Каналы утечки информации
Количество и природа технических каналов утечки информации велико и, к
большому сожалению, непрерывно возрастает. Рынок систем и технологий
конфиденциального съема и получения информации огромный, что в свою очередь
побуждает к развитию сервисов и систем информационной безопасности. Таким
образом, в ряде случаев методы инженерно-технической разведки (ПЭМИН, акустика,
электромагнитное навязывание и т.д.) ушли в прошлое. К большому сожалению, это
все не так. Законы рыночной экономики, конкурентная борьба, в ряде случаев
толкают субъекты и физические лица к применению подобных технологий. Поэтому, в
условиях повсеместного использования программно-технических методов и средств
обеспечения ИБ не следует забывать и о ПЭМИН. Все эти моменты должны быть
прописаны в политике безопасности организации.
Аркадий Вейц
Подводные камни автоматизации
Сколько существует методика проведения
специсследований, столько времени предпринимаются попытки перепоручить эту
работу автоматам. Поскольку сами измерения сводятся, всего-навсего, к замеру
уровней сигналов, возникших при включении специального тестового режима работы
ТСПИ, первые автоматические комплексы, созданные в 70-е годы и позднее,
выполняли именно эту рутинную процедуру: записывали уровни фоновых шумов при
выключенном тестовом режиме, и затем находили и измеряли уровни сигналов,
превышающих шумы при включенном тестовом режиме. Далее инженерам-исследователям
оставалось проверить таблицу измеренных уровней и оставить в ней только
информационно-окрашенные сигналы. Однако, как известно, уровни эфирных шумов
непостоянны во времени. Включаются и выключаются многочисленные источники
помех, меняются характеристики ионосферы Земли... Более-менее точными
результаты автоматических измерений могут быть только в безэховой
экранированной камере, но такие камеры дороги и доступны немногим. Но даже в
камере количество неинформационных сигналов, возникших при включении тестового
режима работы ТСПИ, удручающе велико. И снова ошибка оператора, не исключившего
неопасный сигнал высокого уровня, может привести к значительному увеличению
рассчитанного размера контролируемой зоны.
Появление измерительных комплексов, автоматически
выполняющих поиск информационно-окрашенных сигналов и не требующих ручной
верификации результатов измерений, значительно сокращает возможное влияние
"человеческого фактора". Таковы, в том числе, комплексы для
проведения специсследований "Легенда", разработанные нашим
предприятием. И, хотя "Легенда" - своего рода "пионер"
нового поколения, мы прилагаем все усилия для совершенствования этого изделия.
Надеемся, у нас это получается неплохо.
Нагорный С. И., Донцов В. В. Журнал «Специальная техника»
Сравнительный анализ методов и средств автоматизации измерений при
специсследованиях технических средств электронно-вычислительной техники на
ПЭМИН
Как известно, побочные электромагнитные излучения и
наводки (ПЭМИН) от средств вычислительной техники являются одним из возможных
каналов утечки информации. Поиск и измерение ПЭМИН средств
электронно-вычислительной техники вручную является трудоёмким и длительным
процессом. При этом значительная часть выполняемых инженером-исследователем
операций - однообразные рутинные процедуры: перестройка частоты, регистрация
обнаруженных информационных ПЭМИН, запись частот и уровней этих излучений в
таблицу. Поэтому автоматизация измерений ПЭМИН является важной и актуальной
задачей, как в практическом плане, так и в теоретическом аспекте. С точки
зрения теории необходимо обоснованно выбрать метод автоматизации измерений, а
на практике необходимо сформировать измерительный комплекс, реализующий данный
метод автоматизации измерений. К сожалению, в настоящее время наблюдаются
значительные расхождения в результатах измерений, получаемых известными автоматизированными
комплексами, так и между результатами, полученными при помощи
автоматизированных систем и квалифицированным инженером-исследователем вручную.
В настоящей статье рассмотрены существующие на сегодняшний день методы
автоматизации измерения ПЭМИН и их конкретные реализации, определены
преимущества, недостатки и границы применения каждого метода.
Вывод:
Представленные на отечественном рынке комплексы для
проведения специсследований позволяют в автоматическом режиме решать ряд задач
измерений ПЭМИН и способны в той или иной мере облегчить работу
инженера-исследователя, повысить производительность его труда. Комплексы на
основе сканирующих приемников ("Зарница") пригодны для быстрого
анализа спектра ПЭМИН, излучаемых техническим средством, но не обеспечивают
высокой точности измерений. При необходимости выдачи предписания на
эксплуатацию технического средства, измерения, произведенные при помощи данного
комплекса, подлежат обязательной ручной проверке с использованием
метрологического измерительного оборудования (измерительных приемников или
анализаторов спектра). Комплексы "Навигатор" пригодны для проведения
достаточно точных измерений ПЭМИН в условиях экранированных помещений
(безэховых экранированных камер), однако результаты измерений могут быть корректными
только при их тщательной ручной верификации с использованием средств самого
"Навигатора". Комплексы "Легенда" позволяют проводить
измерения, не требующие ручной верификации, что подтверждено сертификатом
Гостехкомиссии. По-видимому, то же можно будет сказать и о комплексах
"Сигурд" после завершения соответствующих сертификационных испытаний.
Но использование комплексов "Легенда" и "Сигурд" требует от
оператора достаточно высокой квалификации и четкого знания методики проведения
специсследований, так как собственно исследовательская, творческая часть
методики - выявление структуры тестового сигнала, создание эталонного образа,
формирование задания на проведение измерений - остается за человеком. Впрочем,
стоит ли считать это обстоятельство недостатком - решать вам. Мы же убеждены,
что высокая квалификация и знания всегда были и остаются основой
профессионального подхода.
Маркус Г. Кун и РоссДж. Андерсон (Компьютерная лаборатория университета
Кембридж, Великобритания)
Скрытая передача данных с помощью электромагнитных излучений
Компрометирующие излучения продолжают оставаться
интереснейшей областью исследований, хотя по большому счету они не изучены в
научной литературе. Высокая стоимость физического экранирования и постоянно
растущие тактовые частоты современных компьютеров гарантируют, что данную
проблему быстро не преодолеть. Одновременно, появление мощных программных
радиоприемников на любительском рынке способно лишь ухудшить ситуацию.
Однако, нами показано, что Темпест - это не только
исследование радиочастот. Программные методы могут существенно изменить
картину: их можно применять для новых атак, конструировать новые средства
защиты и изобретать совершенно новые приложения. Мы полагаем, что наша
технология "Программный Темпест" может существенно развить данную
область исследований.
5. Определение требований к решению задачи
защиты информации от утечки за счет канала побочных электромагнитных излучений
и наводок
Нормативно-методические документы
Круг задач, выполняемых в ТПП Оренбургской области очень широк, и
регламентируется большим количеством нормативных правовых документов. Основными
документами, определяющими порядок разработки системы защиты информации от
утечки за счет ПЭМИН являются:
ФЗ № 152«О персональных данных».
Специальные требования и рекомендации по защите информации, от утечки по
техническим каналам (СТР-К)
Сборник норм защиты информации от утечки за счет побочных
электромагнитных излучений и наводок (ПЭМИН)
4 Методики оценки защищенности информации от утечки по техническим
каналам
Руководящий документ. Автоматизированные системы. Защита от
несанкционированного доступа к информации. Классификация автоматизированных
систем и требования по защите информации.
Руководящий документ. Защита от несанкционированного доступа к
информации. Часть 1. Программное обеспечение средств защиты информации.
Классификация по уровню контроля отсутствия не декларированных возможностей.
7 Порядок
проведения классификации информационных систем персональных данных. (Совместный
приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №
55/86/20. Зарегистрирован в Минюсте России 3 апреля 2008 года, регистрационный
№ 11462) <#"864900.files/image005.gif">
Рисунок 5 - ЛВС Торгово-промышленной палаты Оренбургской области
В ТПП Оренбургской области используется программный комплекс собственной
разработки на основе InterBase SQL Server, обеспечивающий полный рабочий
процесс предприятия от приема заявок до сдачи дел в электронный архив.
Каждый компьютер излучается на всех частотах.
Перехватив данные излучения, можно получить какую-либо полезную информацию.
Каналы утечки информации могут возникать вследствие
излучения информативных сигналов при работе ТС и наведения этих сигналов в
линиях связи, цепях электропитания и заземления, других коммуникациях, имеющих
выход за пределы контролируемой территории (КТ). Информативные сигналы могут
распространяться на большие расстояния и регистрироваться средствами
технических разведок за пределами КЗ.
Программное обеспечение изначально создавалось с учетом возможности
оперативного изменения формата вносимых данных и пользовательского интерфейса,
что позволяет очень быстро приспособить его к будущим изменениям. Программный
комплекс рассчитан на эксплуатацию с использованием технологии VPN и при своей
работе требует минимальных сетевых ресурсов. Готовая техническая документация
печатается на двухсторонних высокопроизводительных сетевых принтерах. В ТПП
Оренбургской области создана единая информационная система. [3]
Применение технологии VPN позволяет реализовать следующее:
. Единое пространство сети предприятия.
. Полную прозрачность сети для сотрудников предприятия.
. Защиту информации от несанкционированного доступа сторонних лиц.
. Внедрение единой АСУ в существующие структуры сетей компании и полную
интеграцию в существующий производственный документооборот.
. Масштабирование существующей сети предприятия.
. Голосовую связь внутри сети.
Совокупность объекта разведки (в данном случае - объекта ТСПИ),
технического средства разведки, с помощью которого добывается информация, и
физической среды, в которой распространяется информационный сигнал, называется
техническим каналом утечки информации. Схема технического канала представлена
на рисунке 5.
Рисунок 6 - Схема технического канала утечки информации
При работе технических средств возникают информативные электромагнитные
излучения, а в соединительных линиях ВТСС и посторонних проводниках могут
появляться наводки информационных сигналов. [4]
6.2 Модель угроз
Модель угроз, которая представлена в таблице 2, строится в соответствии с
рекомендациями, изложенными в Базовой модели ФСТЭК России и Методикой
определения актуальных угроз персональным данным. В модели угроз указывается
наименование источника информации, цена информации, источник сигнала, путь утечки,
вид канала, величина угрозы, показатель опасности.
Этот показатель имеет три значения:
1. низкая опасность - если реализация угрозы может привести к
незначительным негативным последствиям для субъектов персональных данных;
2. средняя опасность - если реализация угрозы может привести к
негативным последствиям для субъектов персональных данных;
. высокая опасность - если реализация угрозы может привести к
значительным негативным последствиям для субъектов персональных данных. [10]
Актуальные угрозы безопасности - это совокупность условий и факторов,
создающих актуальную опасность несанкционированного, в том числе случайного,
доступа к информации при ее обработке в информационной системе, результатом
которого могут стать уничтожение, изменение, блокирование, копирование,
предоставление, распространение персональных данных, а также иные неправомерные
действия. [7]
Таблица 3 - Модель угроз
|
№
|
Наименование источника
информации
|
Цена информации
|
Источник сигнала
|
Путь утечки
|
Вид канала
|
Показатель опасности угрозы
|
Величина угрозы
|
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
|
1.1
|
Сведения о сотрудниках.
Сведения об объектах на которых ведется разработка систем безопасности.
Сведения о размещении
|
10200
|
Электромагнитное поле, с
волнами видового диапазона
|
Хищение информации путем
видео- или фотозахвата информации отображенной на мониторах, либо на бумажных
носителях
|
Видовой
|
Средняя опасность
|
33252
|
|
|
|
Монитор, системный блок,
принтер, кабели, ПЭМИ
|
Электромагнитный
|
Высокая опасность
|
3060
|
|
|
|
Линии связи, ПЭМИН
|
Средства вычислительной
техники наводят дополнительные токи и напряжения в силовых линиях (цепи заземления,
цепи питания). Эти токи и напряжения можно выявить с помощью селективных
вольтметров.
|
Электрический
|
Высокая опасность
|
7140
|
|
1.2
|
Распоряжения и указания.
Сведения о технических средствах. Сведения о системе безопасности. Сведения о
системе пожаротушения.
|
119820
|
Монитор, системный блок,
принтер, кабели, ПЭМИ
|
С помощью сканирования ПЭМИ
широкополосными приемниками можно восстановить информацию, которая содержится
в данных средствах вычислительной техники
|
Электромагнитный
|
Высокая опасность
|
420568
|
|
|
|
Линии связи, ПЭМИН
|
Средства вычислительной
техники наводят дополнительные токи и напряжения в силовых линиях. Эти токи и
напряжения можно выявить с помощью селективных вольтметров
|
Электрический
|
Высокая опасность
|
9755334
|
|
1.3
|
Расчеты по объектам.
Приказы, инструкции, действия при ЧС
|
81120
|
Монитор, системный блок,
принтер, кабели, ПЭМИ
|
С помощью сканирования ПЭМИ
широкополосными приемниками можно восстановить информацию, которая содержится
в данных средствах вычислительной техники и периферийном оборудовании
персонального компьютера
|
Электромагнитный
|
Высокая опасность
|
193065
|
|
|
|
Линии связи, ПЭМИН
|
Средства вычислительной
техники наводят дополнительные токи и напряжения в силовых линиях (цепи
заземления, цепи питания). Эти токи и напряжения можно выявить с помощью
селективных вольтметров
|
Электрический
|
Высокая опасность
|
446160
|
|
1.4
|
Методические рекомендации.
Сведения о сотрудниках. Сведения об объектах на которых ведется разработка
систем безопасности. Сведения о размещении (план территории, система
коммуникаций, трубопровод). Распоряжения и указания. Сведения о технических
средствах
|
5004
|
Монитор, системный блок,
принтер, кабели, ПЭМИ
|
С помощью сканирования ПЭМИ
широкополосными приемниками можно восстановить информацию, которая содержится
в данных средствах вычислительной техники и периферийном оборудовании
персонального компьютера
|
Электромагнитный
|
Средняя опасность
|
700
|
|
|
|
Линии связи, ПЭМИН
|
Средства вычислительной
техники наводят дополнительные токи и напряжения в силовых линиях (цепи
заземления, цепи питания). Эти токи и напряжения можно выявить с помощью
селективных вольтметров
|
Электрический
|
Средняя опасность
|
1701
|
|
|
|
Электромагнитное поле, с
волнами видового диапазона
|
Хищение информации путем
видео- или фотозахвата информации отображенной на мониторах, либо на бумажных
носителях
|
Видовой
|
Средняя опасность
|
8006
|
|
1.5
|
Сведения о системе
безопасности. Сведения о системе пожаротушения. Отчеты по деятельности
|
90260
|
Монитор, системный блок,
принтер, кабели, ПЭМИ
|
С помощью сканирования ПЭМИ
широкополосными приемниками можно восстановить информацию, которая содержится
в данных средствах вычислительной техники и периферийном оборудовании
персонального компьютера
|
Электромагнитный
|
Высокая опасность
|
239189
|
|
|
|
Линии связи, ПЭМИН
|
Средства вычислительной
техники наводят дополнительные токи и напряжения в силовых линиях (цепи
заземления, цепи питания). Эти токи и напряжения можно выявить с помощью
селективных вольтметров
|
Электрический
|
Высокая опасность
|
553293
|
|
|
|
Электромагнитное поле, с
волнами видового диапазона
|
Хищение информации путем
видео- или фотозахвата информации отображенной на мониторах, либо на бумажных
носителях
|
Видовой
|
Высокая опасность
|
2599488
|
Методические рекомендации.
Сведения о сотрудниках. Сведения о размещении
|
4050
|
Электромагнитное поле, с
волнами видового диапазона
|
Хищение информации путем
видео- или фотозахвата информации отображенной на мониторах, либо на бумажных
носителях
|
Видовой
|
Высокая опасность
|
5265
|
|
|
|
|
|
|
|
|
|
|
6.3 Модель нарушителя
В соответствии с рекомендациями, изложенными в Базовой модели ФСТЭК России,
а также в Методических рекомендациях ФСБ России, к потенциальным нарушителям
безопасности, могут быть отнесены следующие группы нарушителей:
· разведывательные службы государств;
· криминальные структуры;
· конкуренты;
· внешние субъекты (физические лица);
· сотрудники организации;
· сотрудники сторонних организаций, которым предоставляется
доступ в контролируемую зону в соответствии с договорными обязательствами
(например, программисты-разработчики или поставщики услуг и технических
средств, обеспечивающие сопровождение систем) (сотрудники недобросовестных
партнеров);
· операторы связи, предоставляющие в аренду каналы связи.
Таблица 4 - Модель нарушителя
|
Нарушитель
|
Цель
|
Средства
|
|
Криминальные структуры
|
Личная выгода, шпионаж
|
Доступные в свободной продаже
технические средства и программное обеспечение
|
|
Зарегистрированные
пользователи ИС.
|
Личная выгода,
неудовлетворенное тщеславие
|
Штатные средства
|
|
Субъекты, которым
предоставлен доступ в КЗ в силу служебных обязанностей(электрики, сантехники
и др.)
|
Личная выгода, промышленный
шпионаж
|
Доступные в свободной
продаже технические средства и программное обеспечение, штатные средства
|
|
Разработчики ИС
|
Личная выгода,
неудовлетворенное тщеславие
|
Штатные средства
|
|
Уволенные сотрудники
|
Месть, личная выгода
|
Доступные в свободной
продаже технические средства и программное обеспечение
|
|
Хакеры
|
Личная выгода,
неудовлетворенное тщеславие
|
Доступные в свободной
продаже технические средства и программное обеспечение, специально
разработанные технические средства и ПО
|
|
Операторы связи,
предоставляющие в аренду каналы связи
|
Личная выгода
|
Доступные в свободной
продаже технические средства и программное обеспечение
|
6.4 Экономический эффект
Экономический эффект от внедрения СОИБ должен проявляться в виде снижения
величины возможного материального, репутационного и иных видов ущерба,
наносимого предприятию, за счет использования мер, направленных на формирование
и поддержание режима ИБ. Эти меры призваны обеспечить:
. доступность информации (возможность за приемлемое время получить требуемую
информационную услугу);
2. целостность информации (актуальность и непротиворечивость
информации, ее защищенность от разрушения и несанкционированного изменения);
. конфиденциальность информации (защита от несанкционированного
ознакомления);
. неотказуемость (невозможность отрицания совершенных действий);
. аутентичность (подтверждение подлинности и достоверности
электронных документов).
Социальный эффект
Нередко предприятия, осуществляющие аттестацию объектов информатизации,
оказывают подразделениям по безопасности информации «услугу», выдавая
предписания на эксплуатацию ТСПИ с заведомо завышенными размерами
контролируемых зон. Не имея возможности обеспечить контролируемые зоны заданных
размеров, сотрудники спецотделов вынуждены защищать технические средства при
помощи генераторов шума. Иногда требуемая мощность генераторов шума превышает
санитарные нормы, эксплуатация объектов, защищенных таким образом, может быть
опасна для здоровья персонала. Причины выдачи предписаний на эксплуатацию со
значениями зон, большими, чем реальная зона доступности, находятся в желании
"подстраховаться", так же нельзя не затронуть грубые нарушения
методики проведения специсследований, ошибки инженеров-исследователей.
Автоматизация процесса проведения измерения ПЭМИН была призвана максимально
сократить вероятность ошибки. К сожалению, это удается не всегда. [10]
Технический эффект
Традиционно считается, что перехват ПЭМИН и выделение
полезной информации - весьма трудоемкая и дорогостоящая задача, требующая
применения сложной специальной техники. Методики контроля эффективности защиты
объектов информатизации созданы в расчете на использование противником так
называемых оптимальных приемников. Во времена, когда эти документы
разрабатывались, приемные устройства, приближающиеся по своим характеристикам к
оптимальным, были громоздкими, весили несколько тонн, охлаждались жидким
азотом. Ясно, что позволить себе подобные средства могли лишь технические
разведки высокоразвитых государств. Они же и рассматривались в качестве главного
(и едва ли не единственного) противника. Но жизнь не стоит на месте.
Разведывательная радиоаппаратура развивается в сторону миниатюризации и
удешевления, да и объекты атаки больше не сосредоточены на режимных, хорошо
охраняемых предприятиях за высокими заборами с колючей проволокой. Сегодня во
всех без исключения фирмах есть рабочие места, оборудованные персональными
компьютерами, и на многих из них обрабатываются данные, подлежащие защите. И
попытаться незаконно перехватить их, в том числе по каналу ПЭМИН, могут многие.
Это и конкуренты, и преступники, и различные предприятия. Возможности для этого
у них, к сожалению, есть. [12]
Заключение
Сегодня уже невозможно представить себе нашу жизнь без современных
электронных средств обработки, хранения и передачи информации. Широкие
возможности и качество, которые предоставляют цифровые электронные средства,
предопределили их массовое распространение.
Сохранность информационных ресурсов любого предприятия или организации во
многом определяется условиями обеспечения их защищенности в корпоративной сети.
Для решения этой задачи, как правило, создается система безопасности, основными
функциями которой являются защита информации при ее передаче по каналам связи
от несанкционированного доступа (НСД) к ней, от различных
программно-технических воздействий (в том числе компьютерных вирусов) и от
утечки по техническим каналам за счет побочных электромагнитных излучений и
наводок.
Подавляющее число предприятий и организаций в своих вычислительных
корпоративных сетях (КС) обрабатывают сведения, в лучшем случае составляющие
ПДн. В таких системах необходимый уровень защиты информации в соответствии с ФЗ
№149 «Об информации, информационных технологиях и о защите информации»
определяется ее собственниками, то есть руководством компании. При этом
основное внимание уделяется вопросам защиты информации от НСД, тогда как
применение защиты информации от ПЭМИН встречается нечасто. Это объясняется тем,
что осуществление различных видов НСД, как изнутри КС, так и из внешних сетей,
не требует больших затрат, поскольку выполняется с использованием штатных
технических средств самих сетей. Вероятность атак за счет НСД в КС очень
высока. Организация перехвата информационных сигналов по каналам ПЭМИН,
напротив, требует высоких затрат, так как связана с применением специальных
комплексов перехвата. Кроме того, проведение таких атак возможно только при
условии расположения аппаратуры перехвата в непосредственной близости от
объекта, в отношении которого проводится атака, что не всегда осуществимо на
практике.
Защита информации от утечки за счет ПЭМИН должна быть реализована если не
во всей КС, то, по крайней мере, в тех ее сегментах, где обрабатывается
наиболее важная информация. Очевидно, что в такой защите, в первую очередь,
нуждаются корпоративные серверы (с базами данных компании).
Список использованных источников
1. ГОСТ
Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие
на информацию. Общие положения [Электронный ресурс]. - Введ. 2006-12-27. // СПС
Консультант Плюс.
2. ГОСТ
Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в
защищенном исполнении. Общие положения [Электронный ресурс]. - Введ.
2000-06-30. // СПС Консультант Плюс.
3. Абалмазов
Э.И. Методы и инженерно-технические средства противодействия информационным
угрозам: учебник для вузов / Э.И. Абалмазов. - М.: Гротек, 1997. - 248 с.
4. Баранов
В.М. Защита информации в системах и средствах связи: учебное пособие для вузов
/ В.М. Баранов, Г.В. Вальков, М.А. Еремеев - Санкт- Петербург: ВИККА имени А.Ф.
Можайского, 2007. - 113 с.
. Викторов
А.Д. Побочные электромагнитные излучения персонального компьютера и защита
информации. Защита информации: учебник для вузов / А. Д. Викторов, В. И. Генне,
Э. В. Гончаров - 3 - е изд., М.: Москва, 2008. - 72 с.
6. Мотуз
О.В. Побочные электромагнитные излучения: моменты истории: учебник для вузов /
О.В. Мотуз. - М.: Конфидент, 2001. - 89 с.
7. Методика
определения актуальных угроз безопасности персональных данных при их обработке
в информационных системах персональных данных: Руководящий документ ФСТЭК
России 14.02.2008 г. // М.: ГТК РФ, 2008. - 73с.
8. О
персональных данных: федеральный закон от 27.07.2006 № 152-ФЗ // Собрание
законодательства Российской федерации, 2009. - 107с.
9. Об
информации, информатизации и защите информации: Федеральный Закон от 25.01.95 №
24-ФЗ // Собрание законодательства Российской Федерации. - 2014. - 609 с.
10. Петраков
А.В. Защита и охрана личности, собственности, информации: учебник для вузов /
А. В. Петраков. - СПб.: Радио и связь, 2007. - 197 с.
11. Требования
к защите персональных данных при их обработке в информационных системах
персональных данных: утвержденные Постановлением правительства Российской
Федерации от 01 ноября 2012 г. № 1119. // Собрание законодательства, 2013.
12. Умаров А.
Н. Теория ПЭМИН: учебник для вузов / А.Н. Умаров. - М.: Смарт, 2005. - 160 с.
13. Хорев
А.А. Защита информации от утечки по техническим каналам. Часть 1. Технические
каналы утечки информации: учебник для вузов / А.А. Хореев. - М.: Гостехкомиссия
РФ, 2000. - 320 с.