Информационная защита административного здания строительной организации

Структура радиоэлектронного канала утечки информации в общем случае включает источник сигнала или передатчик, среду распространения электрического тока или электромагнитной волны и приемник сигнала.

В радиоэлектронных каналах утечки информации источники сигналов могут быть четырех видов:      

- передатчики функциональных каналов связи;      

- источники опасных сигналов;      

- объекты, отражающие электромагнитные волны в радиодиапазоне;      

- объекты, излучающие собственные (тепловые) радиоволны.      

 

 

 

 

3. Акустический канал

В акустическом канале утечки носителем информации от источника к несанкционированному получателю является акустическая волна в атмосфере, воде и твердой среде. Источниками ее могут быть:

- говорящий человек, речь которого подслушивается в реальном масштабе времени или озвучивается звуковоспроизводящим устройством; 

- механические узлы механизмов и машин, которые при работе издают акустические волны.  

Источники сигналов характеризуются диапазоном частот, мощностью излучения в Вт, интенсивностью излучения в Вт/м² - мощностью акустической волны, прошедшей через перпендикулярную поверхность площадью 1 м² , громкостью звука в дБ, измеряемой как десятичный логарифм отношения интенсивности звука к интенсивности звука  порога слышимости. Порог слышимости соответствует мощности звука 10^-12 Вт или звуковому давлению на барабанную перепонку уха человека 2^.10 ^{- 5} Па.

 

Уровни громкости различных звуков

Оценка громкости звука на слух	Уровень звука, дБ	Источник звука
Очень тихий	0               10	Усредненный порог чувствительности уха Тихий шепот  (1.5 м)
Тихий	20               30               40	Тиканье настенных механических часов Шаги по мягкому ковру (3-4 м)   Тихий разговор, шум в читальном зале
Умеренный	50                 60	Шум в жилом помещении, легковой автомобиль (10-15 м) Улица средней шумности
Громкий	70               80	Спокойный разговор (1 м), зал большого магазина Радиоприемник громко (2 м), крик
Очень громкий	90             100	Шумная улица, гудок автомобиля Симфонический оркестр, автомобильная сирена
Оглушительный	110             120             130	Пневномолот, очень шумный цех Гром над головой Звук воспринимается как боль

 

Акустические волны как носители информации характеризуются следующими показателями и свойствами:      

- скоростью распространения носителя;      

- величиной (коэффициентом) затухания или поглощения;      

- условиями распространения акустической волны (коэффициентом отражения от границ различных сред, дифракцией).      

Виброакустический канал связан с распространением колебаний звуковой частоты по строительным конструкциям и инженерным коммуникациям. Особенно хорошо звуковые колебания распространяются по арматуре ограждающих конструкций, трубам отопления и водоснабжения. При удачном стечении обстоятельств «противник» может прослушать разговоры, ведущиеся в помещении, с помощью вибродатчика (стетоскопа), установленного на трубу отопления с расстояния в несколько десятков метров. Обычно подслушивание с использованием виброакустического канала осуществляется из соседнего или смежного помещения через толщу строительной конструкции с помощью стетоскопа, чувствительным элементом которого является  вибродатчик.

4. Материально-вещественный канал

Особенность этого канала вызвана спецификой источников и носителей информации по сравнению с другими каналами. Источниками и носителями информации в нем являются субъекты (люди) и материальные объекты (макро и микрочастицы), которые имеют четкие пространственные границы локализации, за исключением излучений радиоактивных веществ. Утечка информации в этих каналах сопровождается физическим перемещением людей и материальных тел с информацией за пределами контролируемой зоны. Для более четкого описания рассматриваемого канала целесообразно уточнить состав источников и носителей информации.

Основными источниками материально-вещественного канала утечки информации являются следующие:

- черновики различных документов и макеты материалов, узлов, блоков, устройств, разрабатываемых в ходе научно-исследовательских и опытно-конструкторских работ, ведущихся на предприятии (организации);      

- отходы делопроизводства и издательской деятельности на предприятии (организации), в том числе использованная копировальная бумага, забракованные листы при оформлении документов и их размножении;      

- нечитаемые дискеты ПЭВМ из-за их физических дефектов и искажений загрузочных или других кодов;      

- бракованная продукция и ее элементы;      

- отходы производства в газообразном, жидком и твердом виде.    

Перенос информации в этом канале за пределы контролируемой зоны возможен следующими субъектами и объектами:

- сотрудниками организации и предприятия;      

- воздушными массами атмосферы;      

- жидкой средой;      

- излучениями радиоактивных веществ.      

 

Эти носители могут переносить все виды информации: семантическую и признаковую, а также демаскирующие вещества. Семантическая информация содержится в черновиках документов, схем, чертежей; информация о видовых и сигнальных демаскирующих признаках - в бракованных узлах и деталях, в характеристиках радиоактивных излучений и т. д.; демаскирующие - в газообразных, жидких и твердых отходах производства.

Структура материально-вещественного канала утечки информации

 

Приемники информации этого канала достаточно разнообразны. Это эксперты зарубежной разведки или конкурента, средства для физического и химического анализа, средства вычислительной техники, приемники радиоактивных излучений и др.

3. МОДЕЛИРОВАНИЕ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
1. Общие сведения

Моделирование угроз безопасности информации предусматривает анализ способов ее хищения, изменения и уничтожения с целью оценки наносимого этими способами ущерба.

Моделирование угроз включает:

- моделирование способов физического проникновения злоумышленника                                                                     к  источникам информации;

- моделирование технических каналов утечки информации.

Действие злоумышленника по добыванию информации и материальных ценностей определяется поставленными целями и задачами, мотивацией, квалификацией и технической оснащенностью. Прогноз способов физического проникновения следует начать с выяснения, кому нужна защищаемая информация. Для создания модели злоумышленника необходимо мысленно проиграть с позиции злоумышленника варианты проникновения к источникам информации. Чем больше при этом будет учтено факторов, влияющих на эффективность проникновения, тем выше будет вероятность соответствия модели реальной практике. В условиях отсутствия информации о злоумышленнике лучше переоценить угрозу, хотя это может привести в увеличению затрат.

 

2. Моделирование способов физического проникновения

Этот вид моделирования рассматривает все возможные способы физического проникновения злоумышленника и доступа его к защищаемой информации. Способ физического проникновения предполагает выбор конкретного пути преодоления злоумышленником преград для доступа к защищаемым элементам информации. Этот путь может проходить через пространственные зоны, рассмотренный пространственной моделью. Для построения такого пути необходимо проанализировать эскиз объекта и пространственную модель. В качестве препятствий могут быть окна (w) и двери (d), которые нужно преодолеть злоумышленнику для достижения цели.

Важным фактором при выборе пути злоумышленником является оценка реальности этого пути. Реальность пути связана с  вероятностью выбора злоумышленником этого пути. Она определялась методом экспертных оценок. Вероятность зависит от простоты реализации именного этого пути проникновения. Очевидно, что через некоторые окна и двери легче проникнуть, поэтому следующие  соображения:

1. Проникнуть легче через дверь, чем через окно;
2. Легче проникнуть в окно, не содержащее дополнительных средств защиты, чем в окно с решетками;
3. Проникнуть легче через обычную дверь, чем через железную;
4. Чем больше нужно миновать препятствий, тем путь менее вероятен;

В зависимости от этих соображений предлагаются следующие оценки O_r   реальности пути:

1. O_r=0,1  - для маловероятных путей;

2. O_r=0,5 - для вероятных путей;

3. O_r=0,9 - для наиболее вероятных путей.

 

Величина угрозы находится по формуле:

D=O_r ∙ S_{i ,}

где:  D - величина угрозы, выраженная в условных единицах;

O_r - оценка реальности пути;

S_i - цена элемента информации i.

Для формализации оценки угрозы целесообразно ввести ранжирование величины угрозы по ее интервалам, сопоставляемым с рангами. Ранги угроз с линейной шкалой можно устанавливать из следующих соображений:

• Определяется диапазон значений величин угроз как (1 ÷ D_max);

 

• вводится в рассмотрение 6 рангов;
• устанавливается наивысший по значимости ранг R₁=1 для угроз, имеющих значительные величины;
• определяется линейный интервал ранга d=D_max/6;
• соответствие рангов угроз и интервалов величин угроз определяется следующими формулами:

 

R₆=6 : [1÷ R_6max], R_6max = d-1;

R_i=i : [(R_(i+1)max +1)÷ R_imax] ,  R_imax = R _(i-1)max + d; i = (2,3,4,5);

R₁=1 : [ >R_2max+1].

Максимальная величина угрозы D_max = 99,  тогда d=16,5.

Определяем ранги и интервалы значений угроз:

R₆=6 для интервала [ 0÷ 16];

R₅=5 для интервала [16,5 ÷ 32,5];

R₄=4 для интервала [33 ÷ 49];

R₃=3 для интервала [49,5 ÷ 65,5];

R₂=2 для интервала [66 ÷ 82];

R₁=1 для интервала [82,5÷99];

 

Полученная система рангов представлена в таблице 3.

Таблица 3

Интервал величины угрозы	Ранг угрозы Ri
82,5-99	1
66-82	2
49,5-65,5	3
33-49	4
16,5-32,5	5
0-16	6

 

Модель способов физического проникновения представляется в таблице 4.

Таблица 4

№	Наименование элемента информации	Цена инф-ции	Местонахождение источника информации	Путь проникновения злоумышленника	Оценка реальности канала (Or)	Величина угрозы (D)	Ранг угрозы
1.1	Структура	30	Кабинет директора, сейф	W1-S1	0,9	27	5
				W2-S1	0,5	15	6
				D1-D7-D3-D4-S1	0,1	3	6
1.2	Методы управления	30	Кабинет директора, компьютер	W1-ПК1	0,5	15	6
				W2-ПК1	0,9	27	5
				D1-D7-D3-D4-ПК1	0,5	15	6
1.3	Финансы	70	Бухгалтерия, сейф	W3- S2	0,9	63	3
				D2-D5-S2	0,9	63	3
				D1-D7-D5-S2	0,5	35	4
1.4	Планы и программы	90	Серверная, компьютер	D1-D7-D6-ПК3	0,5	45	4
				D2-D6-ПК3	0,5	45	4
				W5-D6- ПК3	0,1	9	6
1.5	Проблемы и пути их решения	20	Кабинет директора, компьютер	W1-ПК1	0,5	10	6
				W2-ПК1	0,9	18	5
				D1-D7-D3-D4-ПК1	0,5	10	6
1.6	Безопасность	70	Кабинет директора, компьютер	W1-ПК1	0,5	35	4
				W2-ПК1	0,9	63	2
				D1-D7-D3-D4-ПК1	0,5	35	4
2.1	Качество продукции	50	Серверная, компьютер	D1-D7-D6-ПК3	0,5	25	5
				D2-D6-ПК3	0,5	25	5
				W5-D6- ПК3	0,1	5	6
2.2	Себестоимость продукции	40	Бухгалтерия, компьютер	W3- ПК2	0,5	20	5
				W4- ПК2	0,5	20	5
				D2-D5-ПК2	0,1	4	6
2.3	Характеристики разрабатываемой продукции	80	Кабинет директора, компьютер	W1-ПК1	0,5	40	4
				W2-ПК1	0,9	72	2
				D1-D7-D3-D4-ПК1	0,5	40	4
2.4	Возможности производства	20	Бухгалтерия, компьютер	W3- ПК2	0,5	10	6
				W4- ПК2	0,1	2	6
				D2-D5-ПК2	0,1	2	6
2.5	Исследовательские работы	20	Серверная, компьютер	D1-D7-D6-ПК3	0,5	10	6
				D2-D6-ПК3	0,5	10	6
				W5-D6- ПК3	0,1	2	6
2.6	Технологии	110	Кабинет директора, компьютер	W1-ПК1	0,5	55	3
				W2-ПК1	0,9	98	1
				D1-D7-D3-D4-ПК1	0,5	55	3
3.1	Принципы, концепция и стратегия маркетинга	120	Кабинет директора, сейф	W1-S1	0,5	60	3
				W2-S1	0,5	60	3
				D1-D7-D3-D4-S1	0,1	12	6
3.2	Каналы приобретения и сбыта	50	Бухгалтерия, сейф	W3- S2	0,9	45	4
				D2-D5-S2	0,9	45	4
				D1-D7-D5-S2	0,5	25	5
3.3	Партнеры	20	Бухгалтерия, компьютер	W3- ПК2	0,5	10	6
				W4- ПК2	0,1	10	6
				D2-D5-ПК2	0,1	2	6
3.4	Конкуренты	10	Бухгалтерия, компьютер	W3- ПК2	0,5	5	6
				W4- ПК2	0,5	5	6
				D2-D5-ПК2	0,1	1	6
3.5	Переговоры и соглашения	90	Кабинет директора, сейф	W1-S1	0,9	81	2
				W2-S1	0,5	45	4
				D1-D7-D3-D4-S1	0,1	9	6
3.6	Персональные данные работников	50	Бухгалтерия, компьютер	W3- ПК2	0,5	25	5
				W4- ПК2	0,5	25	5
				D2-D5-ПК2	0,1	5	6