Вероятная модель злоумышленника

Фирмы, предоставляющие другим организациям услуги охраны собственности, берут на себя огромную ответственность. А именно частное охранное предприятие берет на себя материальную ответственность перед теми фирмами, которые являются его клиентами. Утечка информации из частного охранного предприятия может нанести серьезный урон не только ему, но и клиентам.

Потенциальными злоумышленниками могут быть и конкуренты, и недобросовестные клиенты, и сотрудники фирмы.

Если угроза будет исходить от лиц, не работающих в данной организации, то возможность проникновения в выделенное помещение исключается, во-первых, на первом этаже расположен пост охраны, во-вторых, в приемной перед кабинетом директора находится приемная, в которой постоянно находится секретарь. К тому же проникновение в выделенное помещение будет контролироваться средствами охраны.

Нередко для достижения своих целей заинтересованные лица прибегают к помощи сотрудников, работающих на предприятии, ведь они знают систему организации изнутри. Для этого злоумышленники чаще всего используют подкуп и убеждение, известны так же случаи запугивания сотрудников.

Для исключения возможности несанкционированного доступа к данным сотрудниками организации на двери выделенного помещения установлен электронный считыватель.

Модель проникновения вероятного злоумышленника в выделенное помещение представлена в приложении 4.

Таким образом, при построении системы защиты следует учитывать, что основную часть нарушителей (около 70 %) будут составлять сотрудники фирмы, но необходимо также исключить проникновение посторонних лиц в контролируемую зону.

2.3 Разработка проекта комплексной системы защиты информации частного охранного предприятия ООО «ОСА»

Комплексная система защиты информации включает в себя следующие основные элементы:

правовую защиту информации;

организационную защиту информации;

инженерно-техническую защиту информации;

программно-аппаратную защиту информации;

криптографическую защиту информации.

Разработка комплексной системы защиты информации подразумевает тщательную отработку каждого элемента.

Правовые меры защиты информации обладают рядом признаков, которые отличают их от прочих видов защиты данных. С одной стороны, юридические меры выполняют охранительную функцию. Они формируют отношение субъектов оборота информации к нормам и правилам Закона. С другой стороны – компенсационная функция: в случае нанесения вреда законному владельцу информации Закон привлекает нарушителя к ответственности и обязывает его возместить причиненный ущерб.

К правовой защите информации на объекте относится:

Установленный перечень сведений, составляющих конфиденциальную информацию;

Инструкции по работе с документами, содержащими конфиденциальную информацию;

Трудовые договора с каждым сотрудником, в которых отдельным пунктом прописаны условия работы с конфиденциальной информацией и ответственность за ее разглашение.

Также с сотрудниками, непосредственно работающими с конфиденциальной информацией, заключается типовой договор, в котором оговорены все аспекты и особенности работы с конфиденциальной информацией.

Организационный элемент системы защиту информации содержит меры управленческого, ограничительного (режимного) и технологического характера. Данные меры должны побуждать персонал соблюдать правила защиты информации на объекте. Эти меры определяют:

Ведение всех видов аналитических работ;

Формирование и организацию деятельности службы безопасности, службы конфиденциальной информации, обеспечение деятельности этих служб нормативно-методической документацией;

Организацию, составление и регулярное обновление состава защищаемой банком информации. Составление и ведение перечня защищаемых бумажных и электронных документов;

Формирование разрешительной системы разграничения доступа персонала к конфиденциальной информации;

Методы отбора персонала для работы с конфиденциальной документацией, методику обучения и инструктирования работников;

Контроль соблюдения работниками порядка защиты информации;

Технологию защиты, обработки и хранения бумажных и электронных документов;

Регламентацию не машинной технологии защиты электронных документов;

Порядок защиты ценной информации от случайных или умышленных несанкционированных действий персонала;

Порядок защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе и представителями СМИ;

Оборудование и аттестацию помещений и рабочих зон, выделенных для работы с конфиденциальной информацией;

Регламентацию пропускного режима на территории, в здании, помещениях, идентификации транспорта и персонала фирмы;

Организацию системы охраны территории;

Регламентацию действий персонала в экстренных ситуациях;

Регламентацию работы по управлению системой защиты информации.

Элемент организационной защиты является стержнем, основной частью рассматриваемой комплексной системы защиты. Меры по организационной защите информации составляют 50-60 % в структуре большинства систем защиты информации.

Автоматизированная система объекта относится к классу защищенности 1Г. Для обеспечения программно-аппаратной защиты в банке используется система «Secret Net».

Основные возможности комплекса «Secret Net»:

Поддержка автоматической смены пароля пользователя по истечении заданного интервала времени;

Разграничение доступа пользователей к ресурсам компьютера с помощью механизмов дискретного и мандатного управления доступом;

Создание для любого пользователя ограниченной замкнутой среды программного обеспечения (списка разрешенных для запуска программ;

Управление временем работы всех пользователей;

Регистрация действий пользователя в системном журнале;

Защита компьютера от проникновения и размножения вредоносных программ;

Контроль целостности средств защиты, среды выполнения программ и самих прикладных программ;

Централизованный мониторинг состояния безопасности информационной системы и управления защитными механизмами;

Криптографическая защита данных.

К программно-аппаратным средствам защиты информации относится защита ПЭВМ и СИРД от ПЭМИН.

Побочные электромагнитные излучения и наводки (ПЭМИН) — это паразитные электромагнитные излучения радиодиапазона, создаваемые в окружающем пространстве устройствами, специальным образом для этого не предназначенными.

В выделенном помещении для исключения ПЭМИН используется генератор шума ГШ-К-1000М. Он предназначен для защиты информации от утечки, обусловленной побочными электромагнитными излучениями и наводками ПЭВМ и других средств обработки информации. Генератор является бескорпусным и устанавливается в PCI слот системного блока ПЭВМ. Генератор имеет внешнюю гибкую рамочную антенну диаметром 50 см. Изделие имеет индикацию работоспособности, в случае неисправности подается звуковой сигнал.

Для защиты СИРД используется ГШ-1000М. В отличие от модели представленной выше он имеет корпус и устанавливается непосредственно рядом с СИРД. Его рабочий диапазон такой же, как и у ГШ-К-1000М и составляет 0,1-1000 МГц. Оба прибора имеют сертификаты ФСТЭК.

Инженерно-техническая защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности организации или учреждения.

Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя:

сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);

средства защиты помещений от визуальных способов технической разведки;

средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);

средства противопожарной охраны;

технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг.

Исходя из перечисленных ранее возможных каналов утечки информации, необходимо смоделировать способы ее защиты.

Таблица 2

Модель защиты информации от утечки по техническим каналам с объекта защиты

Так как окна выделенного помещения выходят на стоянку автомобилей, поэтому для исключения утечки информации по оптическому каналу, на окна устанавливается защитная пленка, которая не только исключает возможность просмотра происходящего в помещений через окна, но и поглощает ИК-излучение и является бронированной.

Защита информации от утечки по радиоэлектронному каналу — это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за счет электромагнитных полей побочного характера и наводок.

Для линий системы энергоснабжения устанавливается сетевой фильтр помехоподавляющий ФСП-1Ф-7А.

Защита сети 220 осуществляется устройством защиты цепей электросети и заземления SEL SP-41. Оно представляет собой генератор регулируемого шума по электросети и является техническим средством активной защиты от утечки информации по сети электропитания и подавления устройств несанкционированного съёма информации, использующих электросеть в качестве канала передачи. SEL SP-41 имеет сертификат соответствия ФСТЭК № 1445.

Для защиты телефонных линий от абонента до городской телефонной станции (ГТС) или от мини-АТС до ГТС используется многофункциональный модуль защиты телефонных линий SEL SP-17/D.При этом обеспечивается: снижение эффективности (вплоть до полного подавления) гальванически подключенных устройств несанкционированного съёма информации любого типа, средств магнитной записи и параллельных телефонных аппаратов, защита от прослушивания помещений через телефонный аппарат при положенной трубке за счёт использования микрофонного эффекта и высокочастотного (ВЧ) навязывания, а также контроль состояния защищаемой телефонной линии. SEL SP-17/D имеет сертификат соответствия ФСТЭК № 1082.

Защита информации от утечки по акустическому каналу — это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.

В данной курсовой работе для защиты информации от утечки по акустическому и виброакустическому каналам используется система защиты помещений по виброакустическому каналу Соната АВ 1М.

Система имеет сертификат соответствия ФСТЭК № 1082.

Таким образом, применение данных средств защиты обеспечит достаточно надежную защиту информации в выделенном помещении по выявленным нами каналам утечки информации.

Так же возникает необходимость оборудования помещений ООО ЧОП «ОСА» системой пожарной сигнализации.

Система охранно-пожарной сигнализации представляет собой сложный комплекс технических средств, служащих для своевременного обнаружения возгорания и несанкционированного проникновения в охраняемую зону. Как правило, охранно-пожарная сигнализация интегрируется в комплекс, объединяющий системы безопасности и инженерные системы здания, обеспечивая информацией системы оповещения, пожаротушения, контроля доступа. Планы охранно-пожарной сигнализации этажей объекта защиты и выделенного помещения представлены в приложении 5,6 и 7 соответственно.

Таблица 3

Номенклатура средств системы охранной и пожарной сигнализации

Разработанная система не только обеспечит надежную защиту информации от утечки по техническим каналам, но и позволит предупредить владельца информации о возникновении возгорания, в местах хранения материальных носителей, оповестит сотрудников о пожаре, и определит попытку несанкционированного доступа к носителям информации.

Но эта система будет неполной без интегрирования с ней системы видеонаблюдения, которая обеспечит визуальный просмотр времени и попыток несанкционированного доступа к информации и обеспечит идентификацию личности нарушителя.

Date: 2016-02-19; view: 890; Нарушение авторских прав