Вероятная модель злоумышленника
Фирмы, предоставляющие другим организациям услуги охраны собственности, берут на себя огромную ответственность. А именно частное охранное предприятие берет на себя материальную ответственность перед теми фирмами, которые являются его клиентами. Утечка информации из частного охранного предприятия может нанести серьезный урон не только ему, но и клиентам.
Потенциальными злоумышленниками могут быть и конкуренты, и недобросовестные клиенты, и сотрудники фирмы.
Если угроза будет исходить от лиц, не работающих в данной организации, то возможность проникновения в выделенное помещение исключается, во-первых, на первом этаже расположен пост охраны, во-вторых, в приемной перед кабинетом директора находится приемная, в которой постоянно находится секретарь. К тому же проникновение в выделенное помещение будет контролироваться средствами охраны.
Нередко для достижения своих целей заинтересованные лица прибегают к помощи сотрудников, работающих на предприятии, ведь они знают систему организации изнутри. Для этого злоумышленники чаще всего используют подкуп и убеждение, известны так же случаи запугивания сотрудников.
Для исключения возможности несанкционированного доступа к данным сотрудниками организации на двери выделенного помещения установлен электронный считыватель.
Модель проникновения вероятного злоумышленника в выделенное помещение представлена в приложении 4.
Таким образом, при построении системы защиты следует учитывать, что основную часть нарушителей (около 70 %) будут составлять сотрудники фирмы, но необходимо также исключить проникновение посторонних лиц в контролируемую зону.
2.3 Разработка проекта комплексной системы защиты информации частного охранного предприятия ООО «ОСА»
Комплексная система защиты информации включает в себя следующие основные элементы:
правовую защиту информации;
организационную защиту информации;
инженерно-техническую защиту информации;
программно-аппаратную защиту информации;
криптографическую защиту информации.
Разработка комплексной системы защиты информации подразумевает тщательную отработку каждого элемента.
Правовые меры защиты информации обладают рядом признаков, которые отличают их от прочих видов защиты данных. С одной стороны, юридические меры выполняют охранительную функцию. Они формируют отношение субъектов оборота информации к нормам и правилам Закона. С другой стороны – компенсационная функция: в случае нанесения вреда законному владельцу информации Закон привлекает нарушителя к ответственности и обязывает его возместить причиненный ущерб.
К правовой защите информации на объекте относится:
Установленный перечень сведений, составляющих конфиденциальную информацию;
Инструкции по работе с документами, содержащими конфиденциальную информацию;
Трудовые договора с каждым сотрудником, в которых отдельным пунктом прописаны условия работы с конфиденциальной информацией и ответственность за ее разглашение.
Также с сотрудниками, непосредственно работающими с конфиденциальной информацией, заключается типовой договор, в котором оговорены все аспекты и особенности работы с конфиденциальной информацией.
Организационный элемент системы защиту информации содержит меры управленческого, ограничительного (режимного) и технологического характера. Данные меры должны побуждать персонал соблюдать правила защиты информации на объекте. Эти меры определяют:
Ведение всех видов аналитических работ;
Формирование и организацию деятельности службы безопасности, службы конфиденциальной информации, обеспечение деятельности этих служб нормативно-методической документацией;
Организацию, составление и регулярное обновление состава защищаемой банком информации. Составление и ведение перечня защищаемых бумажных и электронных документов;
Формирование разрешительной системы разграничения доступа персонала к конфиденциальной информации;
Методы отбора персонала для работы с конфиденциальной документацией, методику обучения и инструктирования работников;
Контроль соблюдения работниками порядка защиты информации;
Технологию защиты, обработки и хранения бумажных и электронных документов;
Регламентацию не машинной технологии защиты электронных документов;
Порядок защиты ценной информации от случайных или умышленных несанкционированных действий персонала;
Порядок защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе и представителями СМИ;
Оборудование и аттестацию помещений и рабочих зон, выделенных для работы с конфиденциальной информацией;
Регламентацию пропускного режима на территории, в здании, помещениях, идентификации транспорта и персонала фирмы;
Организацию системы охраны территории;
Регламентацию действий персонала в экстренных ситуациях;
Регламентацию работы по управлению системой защиты информации.
Элемент организационной защиты является стержнем, основной частью рассматриваемой комплексной системы защиты. Меры по организационной защите информации составляют 50-60 % в структуре большинства систем защиты информации.
Автоматизированная система объекта относится к классу защищенности 1Г. Для обеспечения программно-аппаратной защиты в банке используется система «Secret Net».
Основные возможности комплекса «Secret Net»:
Поддержка автоматической смены пароля пользователя по истечении заданного интервала времени;
Разграничение доступа пользователей к ресурсам компьютера с помощью механизмов дискретного и мандатного управления доступом;
Создание для любого пользователя ограниченной замкнутой среды программного обеспечения (списка разрешенных для запуска программ;
Управление временем работы всех пользователей;
Регистрация действий пользователя в системном журнале;
Защита компьютера от проникновения и размножения вредоносных программ;
Контроль целостности средств защиты, среды выполнения программ и самих прикладных программ;
Централизованный мониторинг состояния безопасности информационной системы и управления защитными механизмами;
Криптографическая защита данных.
К программно-аппаратным средствам защиты информации относится защита ПЭВМ и СИРД от ПЭМИН.
Побочные электромагнитные излучения и наводки (ПЭМИН) — это паразитные электромагнитные излучения радиодиапазона, создаваемые в окружающем пространстве устройствами, специальным образом для этого не предназначенными.
В выделенном помещении для исключения ПЭМИН используется генератор шума ГШ-К-1000М. Он предназначен для защиты информации от утечки, обусловленной побочными электромагнитными излучениями и наводками ПЭВМ и других средств обработки информации. Генератор является бескорпусным и устанавливается в PCI слот системного блока ПЭВМ. Генератор имеет внешнюю гибкую рамочную антенну диаметром 50 см. Изделие имеет индикацию работоспособности, в случае неисправности подается звуковой сигнал.
Для защиты СИРД используется ГШ-1000М. В отличие от модели представленной выше он имеет корпус и устанавливается непосредственно рядом с СИРД. Его рабочий диапазон такой же, как и у ГШ-К-1000М и составляет 0,1-1000 МГц. Оба прибора имеют сертификаты ФСТЭК.
Инженерно-техническая защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности организации или учреждения.
Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя:
сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);
средства защиты помещений от визуальных способов технической разведки;
средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);
средства противопожарной охраны;
технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг.
Исходя из перечисленных ранее возможных каналов утечки информации, необходимо смоделировать способы ее защиты.
Таблица 2
Модель защиты информации от утечки по техническим каналам с объекта защиты
№
п\п
| Место установки
| Тип устройства защиты информации
| Способ применения
| Технический канал закрытия утечки информации
| | Окно помещения
| Установка на окна защитной пленки
| Постоянно
| Оптический
| | Розетки 220 В
в выделенном помещении
| Фильтр сетевой помехоподавляющий ФСП-1Ф-7А
| Постоянно
| Радиоэлектронный
| | ПЭВМ
| Генератор шума ГШ-К-1000М
| Постоянно
| Радиоэлектронный
| | СИРД
| Генератор шума ГШ-1000М
| Постоянно
| Радиоэлектронный
| | Линии системы энергоснабжения
| Генератор шума
SEL SP 41
| Постоянно
| Радиоэлектронный
| | Рядом с телефоном
| Многофункциональный модуль защиты телефоной линии"SEL SP-17/D"
| Постоянно
| Радиоэлектронный
| | Системы центрального отопления, стены, подземные водопроводы и теплопроводы
| Виброакустический генератор
Соната АВ 1М
| Постоянно
| Акустический
|
Так как окна выделенного помещения выходят на стоянку автомобилей, поэтому для исключения утечки информации по оптическому каналу, на окна устанавливается защитная пленка, которая не только исключает возможность просмотра происходящего в помещений через окна, но и поглощает ИК-излучение и является бронированной.
Защита информации от утечки по радиоэлектронному каналу — это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за счет электромагнитных полей побочного характера и наводок.
Для линий системы энергоснабжения устанавливается сетевой фильтр помехоподавляющий ФСП-1Ф-7А.
Защита сети 220 осуществляется устройством защиты цепей электросети и заземления SEL SP-41. Оно представляет собой генератор регулируемого шума по электросети и является техническим средством активной защиты от утечки информации по сети электропитания и подавления устройств несанкционированного съёма информации, использующих электросеть в качестве канала передачи. SEL SP-41 имеет сертификат соответствия ФСТЭК № 1445.
Для защиты телефонных линий от абонента до городской телефонной станции (ГТС) или от мини-АТС до ГТС используется многофункциональный модуль защиты телефонных линий SEL SP-17/D.При этом обеспечивается: снижение эффективности (вплоть до полного подавления) гальванически подключенных устройств несанкционированного съёма информации любого типа, средств магнитной записи и параллельных телефонных аппаратов, защита от прослушивания помещений через телефонный аппарат при положенной трубке за счёт использования микрофонного эффекта и высокочастотного (ВЧ) навязывания, а также контроль состояния защищаемой телефонной линии. SEL SP-17/D имеет сертификат соответствия ФСТЭК № 1082.
Защита информации от утечки по акустическому каналу — это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.
В данной курсовой работе для защиты информации от утечки по акустическому и виброакустическому каналам используется система защиты помещений по виброакустическому каналу Соната АВ 1М.
Система имеет сертификат соответствия ФСТЭК № 1082.
Таким образом, применение данных средств защиты обеспечит достаточно надежную защиту информации в выделенном помещении по выявленным нами каналам утечки информации.
Так же возникает необходимость оборудования помещений ООО ЧОП «ОСА» системой пожарной сигнализации.
Система охранно-пожарной сигнализации представляет собой сложный комплекс технических средств, служащих для своевременного обнаружения возгорания и несанкционированного проникновения в охраняемую зону. Как правило, охранно-пожарная сигнализация интегрируется в комплекс, объединяющий системы безопасности и инженерные системы здания, обеспечивая информацией системы оповещения, пожаротушения, контроля доступа. Планы охранно-пожарной сигнализации этажей объекта защиты и выделенного помещения представлены в приложении 5,6 и 7 соответственно.
Таблица 3
Номенклатура средств системы охранной и пожарной сигнализации
№
п.п
| Наименование
| Схемное
обозначение
| | | | I. Система охранной сигнализации
| | Извещатель оптико-электронный объёмный (7 шт.)
| | | Извещатель акустический (6 шт.)
| | | Извещатель магнитоконтактный (7 шт.)
| | | Пульт управления программируемый (2 шт.)
| | | Модуль защиты телефоной линии"SEL SP-17/D" (1 шт.)
| | | Генератор шума ГШ-К-1000М (1 шт.)
| | | Генератор шума ГШ-1000М (1 шт.)
| | | Генератор шума SEL SP 44 (1 шт.)
| | | Виброакустический генератор Соната АВ 1М (1 шт.)
| | | Фильтр питания «ФСП-1Ф-7А» (2 шт.)
| | | Пленка бронированная, (9 шт.)
| | II. Система пожарной сигнализации
| 1.
| Извещатель пожарный дымовой (20 шт.)
| | 2.
| Оповещатель световой (2 шт.)
| | 3.
| Оповещатель речевой, звуковой (2 шт.)
| | III. Система допуска сотрудников
| 1.
| Считыватель (2 шт.)
| |
Разработанная система не только обеспечит надежную защиту информации от утечки по техническим каналам, но и позволит предупредить владельца информации о возникновении возгорания, в местах хранения материальных носителей, оповестит сотрудников о пожаре, и определит попытку несанкционированного доступа к носителям информации.
Но эта система будет неполной без интегрирования с ней системы видеонаблюдения, которая обеспечит визуальный просмотр времени и попыток несанкционированного доступа к информации и обеспечит идентификацию личности нарушителя.
Date: 2016-02-19; view: 890; Нарушение авторских прав Понравилась страница? Лайкни для друзей: |
|
|