Разработка проекта комплексной системы безопасности объекта защиты

Классификация материально-вещественных каналов утечки информации

1. По физическому состоянию
• Твердые массы
• Жидкости
• Газообразные вещества
2. По физической природе
• Химические
• Биологические
• Радиоактивные
3. По среде расспостранения
• В земле
• В воде
• В воздухе

Очевидно, что каждый источник конфиденциальной информации может обладать в той или иной степени какой-то совокупностью  каналов утечки информации.

 

2.1.2 Технические  каналы утечки информации обрабатываемой на объекте защиты

В основе утечки лежит  неконтролируемый перенос конфиденциальной информации посредством акустических, световых, электромагнитных, радиационных и других полей и материальных объектов.

Причины утечки связаны, как правило, с несовершенством норм по сохранению информации, а также нарушением этих норм (в том числе и несовершенных), отступлением от правил обращения с соответствующими документами, техническими средствами, образцами продукции и другими материалами, содержащими конфиденциальную информацию.

Условия включают различные  факторы и обстоятельства, которые  складываются в процессе научной, производственной, рекламной, издательской, отчетной, информационной и иной деятельности предприятия (организации) и создают предпосылки для  утечки информации. К таким факторам и обстоятельствам могут, например, относиться:

• недостаточное знание работниками предприятия правил защиты информации и непонимание (или недопонимание) необходимости их тщательного соблюдения;
• использование неаттестованных технических средств обработки конфиденциальной информации;
• слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;
• текучесть кадров, в том числе владеющих сведениями конфиденциального характера.

Таким образом, большая  часть причин и условий, создающих  предпосылки и возможность утечки конфиденциальной информации, возникает  из-за недоработок руководителей  предприятий и их сотрудников.

Кроме того, утечке информации способствуют:

• стихийные бедствия (шторм, ураган, смерч, землетрясение, наводнение);
• неблагоприятная внешняя среда (гроза, дождь, снег);
• катастрофы (пожар, взрывы);
• неисправности, отказы, аварии технических средств и оборудования.

Известно, что информация вообще передается полем или веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги с текстом. Но, ни переданная энергия, ни посланное вещество сами по себе никакого значения не имеют, они служат лишь носителями информации. Человек не рассматривается как носитель информации. Он выступает субъектом отношений или источником.

Изучив особенности  расположения объекта и близлежащих  зданий, можно представить возможные  каналы утечки информации в виде таблицы 1.

 

Таблица 1

Классификация возможных  каналов утечки информации

Каналы утечки информации с объекта защиты
1	2	3	4
1	Оптический канал	Окно помещения	Выделенное помещение
2	Радиоэлектронный канал	ПЭВМ	ОТСС
		СИРД
		Телефон ГАТС	ВТСС
		Телефон ВАТС
		Система ОПС
		Система энергоснабжения  и розетки	Выделенное помещение
3	Акустический канал	Теплопровод подземный
		Водопровод подземный
		Стены помещения
		Система центрального отопления
		Вентиляция
4	Материально-вещественный канал	Документы на бумажных носителях
		Персонал предприятия

 

 

Для исключения угроз утечки информации по техническим каналам следует  внедрить систему комплексной защиты информации на ООО «ГЕО ЛИДЕР».

 

2.2 Вероятная  модель злоумышленника 

 

Фирмы, предоставляющие  другим организациям услуги охраны собственности, берут на себя огромную ответственность. А именно частное охранное предприятие берет на себя материальную ответственность перед теми фирмами, которые являются его клиентами. Утечка информации из частного охранного предприятия может нанести серьезный урон не только ему, но и клиентам.

Потенциальными злоумышленниками могут быть и конкуренты, и недобросовестные клиенты, и сотрудники фирмы.

Если угроза будет  исходить от лиц, не работающих в данной организации, то возможность проникновения  в выделенное помещение исключается, во-первых, на первом этаже расположен пост охраны, во-вторых, в приемной перед кабинетом директора находится приемная, в которой постоянно находится секретарь. К тому же проникновение в выделенное помещение будет контролироваться средствами охраны.

Нередко для достижения своих целей заинтересованные лица прибегают к помощи сотрудников, работающих на предприятии, ведь они  знают систему организации изнутри. Для этого злоумышленники чаще всего  используют подкуп и убеждение, известны так же случаи запугивания сотрудников.

Для исключения возможности  несанкционированного доступа к  данным сотрудниками организации на двери выделенного помещения  установлен электронный считыватель.

Модель проникновения  вероятного злоумышленника в выделенное помещение представлена в приложении 4.

Таким образом, при построении системы защиты следует учитывать, что основную часть нарушителей (около 70 %) будут составлять сотрудники фирмы, но необходимо также исключить проникновение посторонних лиц в контролируемую зону.

 

2.3 Разработка проекта комплексной системы защиты информации частного охранного предприятия ООО «ГЕО ЛИДЕР»

 

Комплексная система  защиты информации включает в себя следующие основные элементы:

• правовую защиту информации;
• организационную защиту информации;
• инженерно-техническую защиту информации;
• программно-аппаратную защиту информации;
• криптографическую защиту информации.

Разработка комплексной  системы защиты информации подразумевает тщательную отработку каждого элемента.

Правовые меры защиты информации обладают рядом признаков, которые отличают их от прочих видов защиты данных. С одной стороны, юридические меры выполняют охранительную функцию. Они формируют отношение субъектов оборота информации к нормам и правилам Закона. С другой стороны – компенсационная функция: в случае нанесения вреда законному владельцу информации Закон привлекает нарушителя к ответственности и обязывает его возместить причиненный ущерб.

К правовой защите информации на объекте относится:

• Установленный перечень сведений, составляющих конфиденциальную информацию;
• Инструкции по работе с документами, содержащими конфиденциальную информацию;
• Трудовые договора с каждым сотрудником, в которых отдельным пунктом прописаны условия работы с конфиденциальной информацией и ответственность за ее разглашение.

Также с сотрудниками, непосредственно работающими с  конфиденциальной информацией, заключается  типовой договор, в котором оговорены  все аспекты и особенности  работы с конфиденциальной информацией.

Организационный элемент  системы защиту информации содержит меры управленческого, ограничительного (режимного) и технологического характера. Данные меры должны побуждать персонал соблюдать правила защиты информации на объекте. Эти меры определяют:

• Ведение всех видов аналитических работ;
• Формирование и организацию деятельности службы безопасности, службы конфиденциальной информации, обеспечение деятельности этих служб нормативно-методической документацией;
• Организацию, составление и регулярное обновление состава защищаемой банком информации. Составление и ведение перечня защищаемых бумажных и электронных документов;
• Формирование разрешительной системы разграничения доступа персонала к конфиденциальной информации;
• Методы отбора персонала для работы с конфиденциальной документацией, методику обучения и инструктирования работников;
• Контроль соблюдения работниками порядка защиты информации;
• Технологию защиты, обработки и хранения бумажных и электронных документов;
• Регламентацию не машинной технологии защиты электронных документов;
• Порядок защиты ценной информации от случайных или умышленных несанкционированных действий персонала;
• Порядок защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе и представителями СМИ;
• Оборудование и аттестацию помещений и рабочих зон, выделенных для работы с конфиденциальной информацией;
• Регламентацию пропускного режима на территории, в здании, помещениях, идентификации транспорта и персонала фирмы;
• Организацию системы охраны территории;
• Регламентацию действий персонала в экстренных ситуациях;
• Регламентацию работы по управлению системой защиты информации.

Элемент организационной  защиты является стержнем, основной частью рассматриваемой комплексной системы  защиты. Меры по организационной защите информации составляют 50-60 % в структуре  большинства систем защиты информации.

Автоматизированная система  объекта относится к классу защищенности 1Г. Для обеспечения программно-аппаратной защиты в банке используется система «Secret Net».

 Основные возможности  комплекса «Secret Net»:

• Поддержка автоматической смены пароля пользователя по истечении заданного интервала времени;
• Разграничение доступа пользователей к ресурсам компьютера с помощью механизмов дискретного и мандатного управления доступом;
• Создание для любого пользователя ограниченной замкнутой среды программного обеспечения (списка разрешенных для запуска программ;
• Управление временем работы всех пользователей;
• Регистрация действий пользователя в системном журнале;
• Защита компьютера от проникновения и размножения вредоносных программ;
• Контроль целостности средств защиты, среды выполнения программ и самих прикладных программ;
• Централизованный мониторинг состояния безопасности информационной системы и управления защитными механизмами;
• Криптографическая защита данных.

К программно-аппаратным средствам защиты информации относится защита ПЭВМ и СИРД от ПЭМИН.

Побочные электромагнитные излучения и наводки (ПЭМИН) — это паразитные электромагнитные излучения радиодиапазона, создаваемые в окружающем пространстве устройствами, специальным образом для этого не предназначенными.

В выделенном помещении  для исключения ПЭМИН используется генератор шума ГШ-К-1000М. Он предназначен для защиты информации от утечки, обусловленной  побочными электромагнитными излучениями  и наводками ПЭВМ и других средств  обработки информации. Генератор является бескорпусным и устанавливается в PCI слот системного блока ПЭВМ. Генератор имеет внешнюю гибкую рамочную антенну диаметром 50 см. Изделие имеет индикацию работоспособности, в случае неисправности подается звуковой сигнал.

Для защиты СИРД используется ГШ-1000М. В отличие от модели представленной выше он имеет корпус и устанавливается непосредственно рядом с СИРД. Его рабочий диапазон такой же, как и у ГШ-К-1000М и составляет 0,1-1000 МГц. Оба прибора имеют сертификаты ФСТЭК.