Информационная безопасность

Размещено на http://www.allbest.ru/

Содержание

защита информация угроза безопасность

Введение

1. Теоритические аспекты построения инженерно-технической защиты информации

1.1 Понятие и основные направления инженерно-технической защиты информации

1.2 Правовой элемент системы организации защиты информации

1.3 Основные каналы проникновения в систему и угрозы безопасности информации

1.4 Порядок создания системы инженерно-технической защиты информации

2. Анализ состояния инженерно-технической защиты информации в кабинете директора ООО «Информбезопасность»

2.1 Анализ деятельности ООО «Информбезопасность»

2.2 Анализ информационных потоков

2.3 Общая характеристика объекта защиты и его основных элементов в ООО «Информбезопасность»

2.4 Анализ состояния инженерно-технической защиты информации в кабинете директора ООО «Информбезопасность»

3. Проектирование системы инженерно-технической защиты информации в кабинете директора ООО «Информбезопасность»

3.1 Обоснование технических средств защиты информации

3.2 Разработка системы управления информационной безопасности

3.3 Оценка эффективности разработанной системы инженерно-технической защиты информации

Заключение

Библиографический список



Введение

На сегодняшний день целостность, достоверность и доступность информации - важные составные успеха деятельности любой организации. Под информацией можно понимать: и конфиденциальные данные на бумаге, находящиеся в кабинете на столе или в сейфе; и цифровые данные, хранимые в компьютере, записанные на дискете или передаваемые по каналам связи; и разговоры по телефону или просто в помещении. Доступ в помещение тоже является доступом к информации. В качестве информации могут выступать и деньги, драгоценности, ценные бумаги. Даже сам человек является объектом информации, иногда наиболее ценной. И все это необходимо защищать [5, с. 115].

Информация передается по различным каналам связи, которые должны быть защищены надлежащим образом. При обработке информации в помещениях руководителей организаций возможна ее утечка по техническим каналам.

В случае слабой зашиты этих каналов, информация может стать доступной для посторонних лиц. Для устранения таких ситуаций используются различные технические средства, которые не позволяют информации распространяться дальше заданной зоны.

Каналы, по которым информация распространяется за пределы контролируемой зоны, называются каналами утечки информации. Также, существуют случаи преднамеренных искажений, кражи, удаления информации со стороны злоумышленника. Такие случаи называют несанкционированным доступом.

Защита информации, циркулирующих в помещениях руководителей организаций - проведение комплекса организационно-технических мероприятий по предотвращению утечки конфиденциальной информации по техническим каналам за пределы данного помещения или контролируемой зоны.

Актуальностью данного проекта является необходимость защиты информации в помещениях руководителей организаций, в которых происходит обработка и обсуждение сведений конфиденциального характера, разглашение или искажение которых может повлечь за собой негативные последствия для организации.

Целью данного дипломного проекта является проектирование системы инженерно-технической зашиты информации в кабинете директора ООО «Информбезопасность».

Для достижения данной цели необходимо выполнить следующие задачи:

· изучить теоретические аспекты построения системы инженерно- технической зашиты информации;

· исследовать организационную характеристику ООО «Информбезопасность»;

· проанализировать состояние инженерно-технической зашиты информации в кабинете директора ООО «Информбезопасность»;

· обосновать выбор средств защиты от утечки информации по виброакустическому каналу;

· разработать систему управления информационной безопасностью;

· оценить эффективность разработанной системы инженерно-технической защиты информации.

В данном дипломном проекте объектом исследования является рассматриваемый кабинет директора ООО «Информбезопасность». А предметом в свою очередь являются система инженерно-технической защиты информации.

При написании дипломного проекта были использованы следующие методы: обобщение, анализ и синтез документации, описание, моделирование.

Информационной базой послужили учебные пособия по технической защите информации, периодические издания и информационные ресурсы Интернет-порталов. Для написания данного проекта использовались данные из работ А.А. Торокина как «Инженерно-техническая защита информации», Т.Л. Партыка и И.И. Попова как «Информационная безопасность».

Поставленные цель и задачи обусловили структуру дипломного проекта, который состоит из введения, трех глав, заключения, библиографического списка и 5 приложений.



1. Теоретические аспекты построения системы инженерно - технической защиты информации

1.1 Понятие и основные направления инженерно-технической защиты информации

Инженерно-техническая защита информации - одна из основных составляющих комплекса мер по защите информации конфиденциального характера. Данный комплекс мер включает нормативно-правовые документы, организационные и технические меры, направленные на обеспечение безопасности секретной и конфиденциальной информации.

Перечень вопросов, включенных в инженерно-техническую защиту, широк, и обусловлен многообразием источников и носителей информации, способов и средств её добывания, а, следовательно, и защиты.

Основным направлением инженерно-технической защиты информации является противодействие средствам технической разведки и формирования рубежей охраны территории, зданий, помещений, оборудования, с помощью комплексов технических средств [11, с. 146].

По функциональному назначению средства инженерно-технической защиты делятся на физические, аппаратные, программные, криптографические средства:

Физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий.

К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа-выхода),проноса (выноса) средств и материалов, и других возможных видов преступных действий.

Эти средства применяются для решения следующих задач:

· охрана территории предприятия и наблюдение за ней;

· охрана зданий, внутренних помещений и контроль за ними;

· охрана оборудования, продукции, финансов и информации;

· осуществление контролируемого доступа в здания и помещения.

Аппаратные средства защиты информации - это различные технические устройства, системы и сооружения, предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа [15, с. 86].

Использование аппаратных средств защиты информации позволяет решать следующие задачи:

· проведение специальных исследований технических средств на наличие возможных каналов утечки информации;

· выявление каналов утечки информации на разных объектах it в помещениях;

· локализация каналов утечки информации;

· поиск и обнаружение средств промышленного шпионажа;

· противодействие НСД (несанкционированному доступу) к источникам конфиденциальной информации и другим действиям.

Программные средства. Программная защита информации - это система специальных программ, реализующих функции защиты информации.

Выделяют следующие направления использования программ для обеспечения безопасности конфиденциальной информации:

· защита информации от несанкционированного доступа;

· защита информации от копирования;

· защита информации от вирусов;

· программная защита каналов связи.

Криптографические средства - это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде [47, с. 52].

Существуют следующие основные методы, влияющие на эффективность инженерно-технической защиты, которые должны обеспечить реализацию следующих направлений инженерно-технической защиты информации:

· предотвращение и нейтрализацию преднамеренных и случайных воздействий на источник информации;

· скрытие информации и ее носителей от органа разведки на всех этапах добывания информации;

· методы обнаружения, локализации и уничтожения специальных средств добываний информации, а также подавления их сигналов.

Первое направление объединяет методы, при реализации которых:

· затрудняется движение злоумышленника или распространение стихийных сил к источнику информации;

· обнаруживается вторжение злоумышленника или стихийных сил в контролируемую зону и их нейтрализация.

Затруднение движения источников угроз воздействия к источникам информации обеспечивается в рамках направления, называемого физической защитой. Физическая защита обеспечивается методами инженерной защиты и технической охраны [8, с. 77].

Инженерная защита создается за счет использования естественных и искусственных преград на маршрутах возможного распространения источников угроз воздействия. Искусственнее преграды создаются с помощью различных инженерных конструкций, основными из которых являются заборы, ворота, двери, стены, межэтажные перекрытия, окна, шкафы, ящики столов, сейфы, хранилища.

Поскольку любые естественные и искусственные преграды могут быть преодолены, то для обеспечения надежной защиты информации, как и иных материальных ценностей, необходимы методы обнаружения вторжений в контролируемые зоны и их нейтрализации. Эти методы называются технической охраной объектов защиты.

Под объектами защиты понимаются как люди и материальные ценности, так и носители информации, локализованные в пространстве. Такие носители информации, как электромагнитные и акустические поля не имеют четких границ, поэтому для их защиты применяется метод скрытия информации.

Скрытие информации предусматривает такие изменения структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с качеством, достаточным для использования ее в; собственных интересах [21, с. 115].

1.2 Правовой элемент системы организации защиты информации

Правовой элемент системы организации защиты информации на предприятии основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные меры защитного характера, ответственности персонала за нарушение порядка защиты информации. Этот элемент включает:

· наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, трудовых договорах, в должностных инструкциях положений и обязательств по защите конфиденциальной информации;

· формулирование и доведение до сведения всех сотрудников положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;

· разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации [16, с. 11].

Размещено на http://www.allbest.ru/

Рисунок 1.1- Иерархия законов Российской Федерации

В числе основных подсистем защиты информации в правовом плане можно считать:

· установление на объекте режима конфиденциальности;

· разграничение доступа к информации;

· правовое обеспечение процесса защиты информации.

Законодательство Российской Федерации - это иерархическая система законодательных актов, действующих на территории России. Российское Законодательство возглавляет Конституция РФ - основной закон, имеющий наивысшую юридическую силу, соответствовать которому должны все принимаемые нормативно-правовые акты. Иерархия законов изображена на рисунке 1.1.

Опираясь на Федеральные законы РФ по защите информации, рассмотрим следующие документы:

1. Закон «О коммерческой тайне» №98-ФЗ от 9 июля 2004 года.

Цели и сфера действия настоящего Федерального закона:

а)настоящий ФЗ регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, составляющей секрет производства (ноу-хау);

б)положения настоящего ФЗ распространяются на информацию, составляющую коммерческую тайну, независимо от вида носителя, на котором она зафиксирована;

в)положения настоящего ФЗ не распространяются на сведения, отнесенные в установленном порядке к государственной тайне, в отношении которой применяются положения законодательства Российской Федерации о государственной тайне.

Для целей настоящего ФЗ используются следующие основные понятия:

а)коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;

б)информация, составляющая коммерческую тайну (секрет производства), - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны;

в)обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны;

г)доступ к информации, составляющей коммерческую тайну, - ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации;

д)передача информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности;

е)предоставление информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций;

ж)разглашение информации, составляющей коммерческую тайну, - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.

Право на отнесение информации к информации, составляющей коммерческую тайну, и способы получения такой информации:

а)право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений настоящего Федерального закона;

б)информация, составляющая коммерческую тайну, полученная от ее обладателя на основании договора или другом законном основании, считается полученной законным способом;

и)информация, составляющая коммерческую тайну, обладателем которой является другое лицо, считается полученной незаконно, если ее получение осуществлялось с умышленным преодолением принятых обладателем информации, составляющей коммерческую тайну, мер по охране конфиденциальности этой информации, а также если получающее эту информацию лицо знало или имело достаточные основания полагать, что эта информация составляет коммерческую тайну, обладателем которой является другое лицо, и что осуществляющее передачу этой информации лицо не имеет на передачу этой информации законного основания.

Сведения, которые не могут составлять коммерческую тайну.

Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:

а)содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

б)содержащихся в документах, дающих право на осуществление предпринимательской деятельности;

в) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

г)о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

д)о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

е)о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

ж)о нарушениях законодательства РФ и фактах привлечения к ответственности за совершение этих нарушений;

з)об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

и)о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

к)о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

л)обязательность раскрытия которых или недопустимость ограничения доступа, к которым установлена иными федеральными законами.

2.Закон «О персональных данных» №152-ФЗ от 27 июля 2006 г.

Настоящим ФЗ регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Действие настоящего ФЗ не распространяется на отношения, возникающие при:

а)обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

б)организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ;

в)обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством РФ в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

г)обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Целью настоящего ФЗ является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В целях настоящего ФЗ используются следующие основные понятия:

а)персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

б)оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

в)обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

г)распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

д)использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

е)блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

ж)уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

з)информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

и)конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

к)общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц, к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

3.Закон «Об информации, информационных технологиях и о защите информации» №149-ФЗот 27 июля 2006г.

Настоящий ФЗ регулирует отношения, возникающие при:

а)осуществлении права на поиск, получение, передачу, производство и распространение информации;

б)применении информационных технологий;

в)обеспечении защиты информации.

В настоящем ФЗ используются следующие основные понятия:

а)информация - сведения (сообщения, данные) независимо от формы их представления;

б)информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

в)информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

г)информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

д)обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

е)доступ к информации - возможность получения информации и ее использования;

ж)конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

з)предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

и)распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.

Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации.

Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

а)свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

б)установление ограничений доступа к информации только федеральными законами;

в)открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

г)равноправие языков народов РФ при создании информационных систем и их эксплуатации;

д)обеспечение безопасности РФ при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

е)достоверность информации и своевременность ее предоставления;

ж)неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

з)недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

4.Закон о «Государственной тайне» №131-ФЗ от 6 октября 1997 г. Положения настоящего Закона обязательны для исполнения на территории РФ и за ее пределами органами законодательной, исполнительной и судебной власти, а также организациями, наделенными в соответствии с ФЗ полномочиями осуществлять от имени РФ государственное управление в установленной сфере деятельности (далее - органы государственной власти), органами местного самоуправления, предприятиями, учреждениями и организациями независимо от их организационно - правовой формы и формы собственности, должностными лицами и гражданами РФ, взявшими на себя обязательства либо обязанными по своему статусу исполнять требования законодательства РФо государственной тайне.

В настоящем Законе используются следующие основные понятия:

а)государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ;

б)носители сведений, составляющих государственную тайну, - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;

в)система защиты государственной тайны - совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну и их носителей, а также мероприятий, проводимых в этих целях;

г)допуск к государственной тайне - процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций на проведение работ с использованием таких сведений;

д)доступ к сведениям, составляющим государственную тайну, - санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну;

е)гриф секретности - реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него;

ж)средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации;

з)перечень сведений, составляющих государственную тайну, - совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются наоснованиях и в порядке, установленных ФЗ.

Таким образом, законы РФ №131 «О государственной тайне», №98 «О коммерческой тайны», №152 «О персональных данных», №149 «Об информации информационных технологиях и защиты информации» обеспечивают правовую защиту информации, однако мера ответственности за нарушение исполнения этих законов не определена.

1.3 Основные каналы проникновения в систему и угрозы безопасности информации

Все каналы проникновения в систему и утечки информации можно разделить на следующие:

· прямые каналы утечки информации;

· косвенные каналы утечки информации.

Под косвенными каналами понимают такие каналы, использование которых не требует проникновения в помещения, где расположены компоненты системы. Для использования прямых каналов такое проникновение необходимо. Прямые каналы могут использоваться без внесения изменений в компоненты системы или с изменениями компонентов [28, с. 225].

По типу основного средства, используемого для реализации угрозы все возможные каналы можно условно разделить на три группы, где таковыми средствами являются: человек, программа или аппаратура.

По способу получения информации потенциальные каналы доступа можно разделить на следующие:

· физический;

· электромагнитный (перехват излучений);

· информационный (программно-математический).

При контактной несанкционированном доступе возможные угрозы информации реализуются путем доступа к элементам автоматизированной системы (АС), к носителям информации, к самой вводимой и выводимой информации, а также путем подключения к линиям связи.

При бесконтактном доступе возможные угрозы информации реализуются перехватом излучений аппаратуры АС, в том числе наводимых в токопроводящих коммуникациях и цепях питания, перехватом информации в линиях связи, вводом в линии связи ложной информации, визуальным наблюдением, прослушиванием переговоров персонала автоматизированных систем (АС) и пользователей [32, с. 87].

Информация, обрабатываемая в АС может быть также подвержена несанкционированному физическому уничтожению или искажению. То есть, совершены противоправные несанкционированные действия непосредственно с информацией. В этих условиях возникает проблема принятия специальных мер по защите информации от несанкционированного использования.

Задача защиты может быть сформулирована как введение в автоматизированную систему обработки данных, специальных средств и проведение мероприятий, гарантирующих достаточно надежное и регулярное перекрытие потенциальных каналов утечки или несанкционированного использования информации, а также минимизации других видов угроз. Совокупность указанных средств и мероприятий образует механизм защиты.

Главными целями деятельности по обеспечению информационной безопасности являются ликвидация угроз объектам информационной безопасности и минимизация возможного ущерба, который может быть нанесен вследствие реализации данных угроз [36, с. 58].

Угроза - одно из ключевых понятий в сфере обеспечения информационной безопасности. Угроза объекту информационной безопасности есть совокупность факторов и условий, возникающих в процессе взаимодействия различных объектов (их элементов) и способных оказывать негативное воздействие на конкретный объект информационной безопасности. Негативные воздействия различаются по характеру наносимого вреда, а именно: по степени изменения свойств объекта безопасности и возможности ликвидации последствий проявления угрозы.

Существует два основных вида источников угроз информации - это внешние и внутренние источники.

К внешним источникам угроз информации относятся:

· деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере;

· стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;

· обострение международной конкуренции за обладание информационными технологиями и ресурсами;

· деятельность международных террористических организаций;

· увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

· деятельность космических, воздушных, морских и наземных технических и иных средств разведки иностранных государств;

· разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним [31, с. 29].

К внутренним источникам угроз информации относятся:

· закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам;

· противоправные сбор и использование информации;

· нарушения технологии обработки информации;

· разработка и распространение программ, нарушающих нормальное функционирование информационных информационно-телекоммуникационных систем, в том числе систем защиты информации;

· уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;

· воздействие на ключевые системы защиты автоматизированных систем обработки и передачи информации;

· компрометация ключей и средств криптографической защиты информации;

· внедрение электронных устройств перехвата информации в технических средствах обработки информации по каналам связи, а также в служебные помещения;

· уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;

· перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;

· несанкционированный доступ к информации, находящейся в банках и базах данных;

· нарушение законных ограничений на распространение информации.

К наиболее важным свойствам угрозы относятся избирательность, предсказуемость и вредоносность. Избирательность характеризует нацеленность угрозы на нанесение вреда тем или иным конкретным свойствам объекта безопасности. Предсказуемость характеризует наличие признаков возникновения угрозы, позволяющих заранее прогнозировать возможность появления угрозы и определять конкретные объекты безопасности, на которые она будет направлена. Вредоносность характеризует возможность нанесения вреда различной тяжести объекту безопасности. Вред, как правило, может быть оценен стоимостью затрат на ликвидацию последствий проявления угрозы либо на предотвращение ее появления [18, с. 45].

Угрозы бывают преднамеренные и случайные.

К случайным относятся ошибки оператора, сбои технических средств обработки, передачи, хранения информации, технического персонала, случайные силы, стихийные бедствия.

К преднамеренным относят действие со стороны злоумышленника, т.е. хищение, искажение, уничтожение информации. Действия злоумышленника будут направлены на следующие технические каналы утечки информации:

· оптические;

· акустические (включая виброакустические, акустоэлектрические);

· радиоэлектронные (включая магнитные и электрические);

· материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного рода) [44, с. 63].

Носителем информации в оптическом канале является электромагнитное поле (фотоны) в диапазоне 0,46-0,76 мкм (видимый свет) и 0,76-13 мкм (инфракрасные излучения).

В радиоэлектронном канале утечки информации в качестве носителей используются электрические, магнитные и электромагнитные поля в радиодиапазоне, а также электрический ток (поток электронов), распространяющийся по металлическим проводам. Диапазон колебаний носителя этого вида чрезвычайно велик: от звукового диапазона до десятков ГГц.

В соответствии с видами носителей информации радиоэлектронный канал целесообразно разделить на 2 подвида: электромагнитный канал, носителями информации в котором являются электрическое, магнитное и электромагнитное поля, и электрический канал, носитель информации в котором - электрический ток [24, с. 263].

Носителями информации в акустическом канале являются упругие акустические волны в инфразвуковом (менее 16 Гц), звуковом (16 Гц-20 кГц) и ультразвуковом (свыше 20 кГц) диапазонах частот, распространяющиеся в атмосфере, воде и твердой среде.

В вещественном канале утечка информации производится путем несанкционированного распространения носителей с защищаемой информацией в виде вещества, прежде всего выбрасываемых черновиков документов и использованной копировальной бумаги, забракованных деталей и узлов, демаскирующих веществ и др. Демаскирующие вещества в виде твердых, жидких и газообразных отходов или промежуточных продуктов позволяют определить состав, структуру и свойства новых материалов или восстановить технологию их получения. К утечке по этому каналу отнесено несанкционированное распространение продуктов распада радиоактивных веществ, обнаружение и распознавание которых злоумышленником обеспечивают возможность определения наличия и признаков радиоактивных веществ [35, с. 366].

Когда речь идет о распространении за пределы организации отходов производства, следует отличать технический канал утечки от агентурного, в рамках которого вынос носителя с информацией производится проникшим к источнику злоумышленником, завербованным сотрудником организации или сотрудником, стремящимся продать информации любому ее покупателю. Граница между агентурным и каналом утечки достаточно условна, однако при утечке информации в агентурном канале переносчиком информации является лицо, сознающее противоправные действия, а в техническом вещественном канале носители вывозятся из организации с целью освобождения ее от отходов или отходы распространяются в результате действия природных сил. В качестве таких сил могут быть воздушные потоки, разносящие выбрасываемые трубами газообразные отходы, или водные потоки рек или водоемов, куда сбрасываются недостаточно очищенные жидкие или взвешенные в воде твердые частицы демаскирующих веществ [42, с. 142].

Каждый из технических каналов имеет свои особенности, которые необходимо знать и учитывать для обеспечения эффективной защиты информации от ее утечки.

Технический канал утечки информации, состоящий из передатчика, среды распространения и приемника, является простым или одноканальным.

Однако возможны варианты, когда утечка информации происходит более сложным путем - по нескольким последовательным или параллельным каналам. В этом случае канал можно назвать, составным. При этом используется свойство информации переписываться с одного носителя на другой. Например, если в кабинете ведется конфиденциальный разговор, то утечка возможна не только по акустическому каналу через стены, двери, окна, но и по оптическому - путем съема информации лазерным лучом со стекла окна или по радиоэлектронному с использованием установленной в кабинете радиозакладки. В двух последних вариантах образуется составной канал, образованный из последовательно соединенных акустического и оптического (на лазерном луче) или акустического и радиоэлектронного (радиозакладка - среда распространения - радиоприемник) каналов. Такие каналы корректно назвать акусто-оптическим и акусто-радиоэлектронным соответственно. Для повышения дальности канала утечки может также использоваться ретранслятор, совмещающий функции приемника одного канала утечки информации и передатчика следующего канала. Например, для повышения дальности подслушивания с использованием радиозакладки можно разместить ретранслятор слабого сигнала закладного устройства в портфеле, сдаваемый якобы на хранение в камеру хранения закрытого предприятия, а принимать и регистрировать более мощный сигнал ретранслятора на удалении в несколько километров в безопасном месте. Такой составной канал называется акусто - радиоэлектронный. По частоте проявления каналы делятся на постоянные и эпизодические. В постоянном канале утечка информации носит достаточно регулярный характер. Например, наличие в кабинете источника опасного сигнала может привести к передаче из кабинета речевой информации до момента обнаружения этого источника. Регулярность получения информации через такой канал делает его весьма ценным. Поэтому разведка дорожит регулярным источником информации и защищает его от контрразведки. К эпизодическим каналам относятся каналы, утечка информации в которых имеет кратковременный, часто случайный характер [26, с. 135].

По способу создания каналы утечки могут быть специально организованные и случайные. Организованные каналы создаются злоумышленником для регулярного добывания информации. Например, для подслушивания на большом расстоянии от источника речевой информации организуется канал утечки из помещения путем размещения в нем закладного устройства. Характеристики (частота излучения, вид модуляции, мощность передатчика и др.) этого канала известны злоумышленнику. Эти знания позволяют ему непрерывно или в определенное время прослушивать все разговоры, ведущиеся в помещении.

Побочные электромагнитные излучения и наводки создают предпосылки для образования случайных каналов утечки информации, параметры которых априори злоумышленнику не известны. Если ему удастся настроить свой приемник на частоту побочного излучения, то возникает случайный канал утечки информации. Такой канал может быть весьма информативным, но случайный характер его образования и времени работы (когда включено излучающее техническое средство) снижает его полезность для злоумышленника [39, с. 198].

По техническому каналу утечки информация может передаваться не только в открытом виде, она может быть и закрытой. С целью повышения скрытности сигнал на выходе перспективных закладных устройств закрывается, а канал утечки, использующий эти устройства, является технически закрытым. При перехвате функциональных каналов связи, по которым передается шифрованная информация, образуется шифрованный канал утечки информации.

Возможности передачи информации по техническим каналам зависит от многих факторов: энергии сигнала, степени его ослабления в среде распространения, чувствительности и разрешающей способности приемника злоумышленника, уровня помех в канале и др.

1.4 Порядок создания системы инженерно-технической защиты информации

Защита информации должна осуществляться посредством выполнения комплекса мероприятий и применением (при необходимости) средств ЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств [3, с. 23].

Материалы по нормам, методам и этапам создания системы технической защиты государственной тайны имеют статус секретности, и, поэтому в данном дипломном проекте не будут рассматриваться.

Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации на руководителей подразделений по защите информации (служб безопасности) учреждения (предприятия) [14, с. 265].

Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) системы защиты информации (СЗИ)объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.

Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по защите информации» и должна предусматривать:

· порядок определения защищаемой информации;

· порядок разработки, ввода в действие и эксплуатацию объектов информатизации;

· ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ [16, с. 198].

В учреждении (на предприятии) должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

Устанавливаются следующие стадии создания системы защиты информации:

· предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;

· стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;

· стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

На предпроектной стадии по обследованию объекта информатизации:

· устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;

· определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;

· определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;

· определяются условия расположения объектов информатизации относительно границ контролируемой зоны (КЗ);

· определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

· определяются технические средства и системы, предполагаемые к использованию в разрабатываемой автоматизированной системе (АС) и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;

· определяются режимы обработки информации в АС в целом и в отдельных компонентах;

· определяется класс защищенности АС;

· определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;

· определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.

На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации, в т.ч. настоящего документа, с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

· разработка раздела технического проекта на объект информатизации в части защиты информации;

· строительно-монтажные работы в соответствии с проектной документацией, размещением и монтажом технических средств и систем;

· разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

· закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;

· закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;

· разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;

· организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

...