Информационная безопасность

· разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;

· определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;

· выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;

· разработка эксплуатационной документации наобъект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

· выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.

На стадии проектирования и создания объекта информатизации и оформляются также технический проект и эксплуатационная документация СЗИ.

На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

· опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

· аттестация объекта информатизации по требованиям безопасности информации.

На этой стадии оформляются:

· акты внедрения средств защиты информации по результатам их испытаний;

· предъявительский акт к проведению аттестационных испытаний;

· заключение по результатам аттестационных испытаний.

С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия).

При необходимости по решению руководителя предприятия в ЗП и в местах размещения средств обработки информации могут проводиться работы по обнаружению и изъятию «закладок», предназначенных для скрытого перехвата защищаемой информации [13, с. 159].

Такие работы могут проводиться организациями, имеющими соответствующие лицензии ФСТЭК России на данный вид деятельности.



2. Анализ состояния инженерно - технической защиты информации в кабинете директора ООО «ИНФОРМБЕЗОПАСНОСТЬ»

2.1 Анализ деятельности ООО «Информбезопасность»

ООО «Информбезопасность» - это коммерческая компания, которая предоставляет целый спектр услуг в области защиты информации.

Основными направлениями деятельности ООО «Информбезопасность» являются:

· создание и обслуживание электронной подписи;

· создание шифрованного канала между абонентами сети;

· организация защиты конфиденциальной информации;

· управление информационной безопасностью;

· аттестация объектов вычислительной техники на соответствие требованиям по безопасности.

В профиль деятельности компаний ООО «Информбезопасность» входят услуги по комплексному решению вопросов, связанных с организацией защиты конфиденциальной информации (Указ Президента РФ от 6 марта 1997 года №188) на предприятии. В пакет услуг входит:

· подготовка и ведение организационно-распорядительных документов по вопросам защиты конфиденциальной информации в соответствии с требованиями нормативно-методических документов;

· модель угроз безопасности конфиденциальной информации в информационных системах;

· техническое задание на создание системы защиты информации;

· установка и настройка технических средств защиты информации;

· аутсорсинг в области технической защиты конфиденциальной информации.

Высшим органом управления общества является его единственный участник (Учредитель).

К исключительной компетенции Учредителя относится:

· определение основных направлений деятельности организации;

· изменение устава, в том числе изменение уставного капитала;

· утверждение годовых отчетов и балансов организации;

· решение о реорганизации и ликвидации организации;

· принятие решения о распределении чистой прибыли организации;

· утверждение документов, регулирующих внутреннюю деятельность организации;

· решение иных вопросов, предусмотренных Федеральным законом и Уставом организации.

Управление в организации осуществляет директор. Он подотчетен учредителю организации и контролируется таковым. Директор организации:

· действует от имени организации, представляет его интересы и совершает сделки;

· выдает доверенности на право представительстваот имени организации;

· издает приказы о назначении на должности работников организации, об их переводе, применяет меры поощрения и налагает дисциплинарные взыскания.

В ООО «Информбезопасность» пять отделов, а именно:

· Отдел технической защиты информации.

· Отдел криптографической защиты информации.

· Первый отдел.

· Коммерческий отдел.

· Отдел бухгалтерского учета и отчетности.

Организационная структура Общества представлена на рисунке 2.1.

Рисунок2.1 - Организационная структура ООО «Информбезопасность»

ООО «Информбезопасность» находится в трехэтажном здании по адресу: г. Оренбург, пер. Саратовский, д. 5. Общество занимает часть третьего этажа здания. В третьем этаже Общество занимает 8 кабинетов. Имеется 12окон, на всех установлены жалюзи.

План помещения занимаемого ООО «Информбезопасность» представлен в приложении А.1.

2.2 Анализ информационных потоков

Основным направлением деятельности ООО «Информбезопасность» является оказание услуг в области защиты информации.

Для выполнения поставленных задач Общество создает, получает и обрабатывает большое количество информации.

Основными задачами ООО «Информбезопасность» являются:

· техническая защита информации;

· организационная защита информации;

· криптографическая защита информации.

В информационных потоках Общества присутствует информация принадлежащая:

· государственной тайне;

· конфиденциальной информации (см. Табл. 2.1).

Информационный поток - информация, рассматриваемая в процессе ее движения в пространстве и времени в определенном направлении.

Таблица2.1 - Перечень сведений, составляющих конфиденциальную информацию

№ элемента информации	Перечень сведений
1	2
Сведения в области защиты КИ
1	Сведения, раскрывающие организацию системы защиты конфиденциальной информации (общее описание, структура и режим функционирования), в том числе, в части применяемых средств защиты информации при передаче конфиденциальной информации по открытым телекоммуникационным каналам связи.
2	Сведения, содержащие описание структуры локальной вычислительной сети и полномочий пользователей, обрабатывающих конфиденциальную информацию.
3	Сведения о ключах, кодах, паролях и идентификаторах пользователей осуществляющих обработку конфиденциальную информацию.
4	Сведения об организации и технических решениях по системе охраны (система контроля доступа) производственных помещений.
5	Документация, содержащая сведения по защите конфиденциальной информации:
5.1	Технические (частные технические) задания на разработку системы (подсистемы) защиты конфиденциальной информации или ее компонент.
5.2	Концепции, типовые технические решения, руководства, инструкции, положения, методические указания по защите конфиденциальной информации.
5.3	Система и матрица разграничения доступа пользователей к конфиденциальной информации (для каждого конкретного объекта информатизации).
5.4	Технические предложения, эскизные, технические и рабочие проекты по защите конфиденциальной информации.
5.5	Описание модели возможного нарушителя в автоматизированной системе, обрабатывающей конфиденциальную информацию.
5.6	Описание технологического процесса функционирования. Программы и методики испытаний, технические паспорта на объекты информатизации, заключения по результатам аттестационных испытаний и аттестаты на объекты информатизации по требованиям безопасности информации.
6	Сводные сведения о потребностях, поставках средств защиты и программно-технических комплексов, предназначенных для обработки КИ по организации в целом.
7	Сведения о порядке передачи конфиденциальной информации другим организациям.
8	Сведения о фактах ведения переговоров, предметах и целях совещаний и заседаний по защите конфиденциальной информации и сторонних участников. Итоговые протоколы (решения).
9	Сведения, полученные при выполнении совместных работ с другими организациями, содержащие конфиденциальную информацию этих организаций.
Сведения по средствам криптографической защиты информации
10	Сведения о закрытом ключе уполномоченного лица удостоверяющего центра.
11	Сведения о закрытом ключе владельца сертификата открытого ключа подписи.
13	Персональная и корпоративная информация пользователей, содержащаяся в Удостоверяющем центре, за исключением информации, используемой для идентификации владельцев сертификатов открытых ключей и заносимой в изготавливаемые сертификаты.
14	Журналы аудита Удостоверяющего центра, материалы по разбору конфликтных ситуаций.
15	Базы данных центров сертификации, центра регистрации и администратора Удостоверяющего центра.
16	Сводная документация на средства криптографической защиты информации на объектах информатизации.
17	Отчетные материалы по проверке деятельности Удостоверяющего центра.
18	Материалы архивного фонда на средства криптографической защиты информации.
Сведения в области персональных данных
19	Персональные данные о сотрудниках (ст.3. п.1 №152 - ФЗ «О персональных данных»)
Сведения в области бухгалтерского учета
20	Содержание внутренне бухгалтерской отчетности (ст. 10 ФЗ №129 «О бухгалтерском учете»)
Сведения составляющие коммерческую тайну
21	Сведения, содержащие списки клиентуры, покупателей, представителей и посредников, данные о поставщиках и потребителях, коммерческие связи.
22	Условия по сделкам и соглашениям, условия контрактов.
23	Сведения об элементах и расчетах цен, структура цены и продажной калькуляции, затраты.
24	Данные о предполагаемом конкурсе или торгах до их опубликования. Материалы и приложения к предложениям на публичных торгах.

Информационные потоки в ООО «Информбезопасность» являются смешенным, т.е. часть информации находится на бумажных носителях, а часть в виде электронных баз данных (см. Табл. 2.2).



Таблица2.2 - Электронные базы данных, использующиеся в ООО «Информбезопасность»

Наименование электронных баз данных
«Клиенты 2.1»
«Удостоверяющий центр»
«1С: Бухгалтерия»
«1С: Зарплата и кадры»

Базы данных формируются на основе полученных данных от клиентов (физические и юридические лица) и сотрудников ООО «Информбезопасность».

Все информационные потоки проходящие через кабинет директора условно можно разделить на 3 составляющих.

Первая составляющая подразумевает информационные потоки связанные с оказанием услуг по защите информации.

В частности, клиенты обращаются в ООО «Информбезопасность» с целью получения услуг в области защиты информации. В зависимости от необходимой услуги, их обслуживает либо отдел криптографической защиты информации, либо технической защиты информации. Заключением договоров на оказание той или иной услуги занимается коммерческий отдел. Реквизиты юридических лиц, персональные данные их руководителей, иногда и некоторых сотрудников, а также персональные данные физических лиц вбиваются в базу данных «Клиенты 2.1», а также в базу данных «Удостоверяющий центр» если услугой по защите информации является получение электронной подписи.

Договора подготавливаются в двух экземплярах. Затем, после утверждения директором ООО «Информбезопасность», договора либо непосредственно клиенты лично забирают, либо отправляются по почте. После утверждения клиентом, один экземпляр договора ООО «Информбезопасность» получает по почте, либо непосредственно от самих клиентов. Затем в базу данных «1С: Бухгалтерия»главным бухгалтером добавляются соответствующие сведения о клиенте.

После подписания договора обеими сторонами, соответствующие отделы ООО «Информбезопасность» приступают к оказанию той или иной услуги в области защиты информации. После оказания услуги, главный бухгалтер подготавливает бухгалтерские документы на оплату услуги, которые в свою очередь почтой передаются клиенту. После оплаты клиентом, подписанные бухгалтерские документы возвращаются Обществу. Затем обеими сторонами утверждается акт оказанных услуг, подписав который, клиент соглашается с выполнением всех услуг в полном объеме.

С помощью Службы специальной связи и информации Федеральной службы охраны Российской Федерации или Государственной фельдъегерской службы Российской Федерации сторонние государственные или частные предприятия, имеющие режимно-секретное подразделение, периодически присылают в первый отдел на бумажных носителях сведения, составляющие государственную тайну.

По распоряжению директора ООО«Информбезопасность» первый отдел подготавливает приказы и распоряжения, которые доводятся до всех сотрудников Общества.

Также в ООО «Информбезопасность»обмен информацией ведется между сотрудниками и отделом бухгалтерского учета и отчетности. Документы, поступающие от сотрудников к главному бухгалтеру, заносятся в базу данных«1С: Предприятие».

База данных «1С: Предприятие» ведет учет сотрудников, а также создает карточку для бумажного дела сотрудника. После увольнения данные о сотруднике удаляются из базы, а бумажное дело передается в архив и хранится согласно закону об архивном деле.

После обработки документов главный бухгалтер формирует отчеты, которые передает директору для выдачи заработной платы сотрудникам, в Пенсионные и Налоговые органы. Передача информации в Пенсионные и Налоговые органы проходит по открытым каналам связи в зашифрованном виде с помощью программного обеспечения КриптоПро CSP.

В ООО «Информбезопасность», большое количество информационных потоков, в которых циркулирует информация различного рода, начиная конфиденциальной информацией и заканчивая государственной тайной различной степени секретности.

Во всех информационных потоках присутствует директор Общества. Тем самым можно сделать вывод о том, что все данные потоки проходят через кабинет директора.

Обобщенная схема информационных потоков, проходящих через кабинет директора представлена на рисунке 2.3.

Рисунок2.2 - Обобщенная схема информационных потоков

В кабинете директора ООО «Информбезопасность» обрабатывается, хранится и озвучивается вся присутствующая в Обществе информация ограниченного распространения кроме государственной тайны. Допущенные лица к государственной тайне согласно законодательства РФ, ознакамливаются с ним только в первом отделе.



2.3 Общая характеристика объекта защиты и его основных элементов в ООО «Информбезопасность»

В качестве объекта защиты рассматривается кабинет директора ООО «Информбезопасность», расположенного на втором этаже трехэтажного дома по адресу: г. Оренбург, пер. Саратовский, д. 5.

Границей контролируемой зоны является ограждающие строительные конструкции второго этажа здания по адресу г. Оренбург, пер. Саратовский д.5, второй этаж.

В кабинете директора ООО «Информбезопасность» проводятся собрания, совещания, беседы и другие мероприятия речевого характера по конфиденциальным вопросам без использования технических средств обработки речевой информации.

Кабинет директора ООО «Информбезопасность» находится в трехэтажном здании на втором этаже. Площадь кабинета 20 кв. метром. Стены здания капитальные, кирпичные, межэтажные перекрытия железобетонные. Стены кабинета директора Общества обшиты гипсокартоном. Потолок двухуровневый, подвесной плиточный «Аrmstrоng». Над кабинетом директора находится серверная компании ООО «Сервис». Пол бетонный покрытый линолеумом. Под кабинетом директора находится сервисная зона по ремонту и техническому обслуживанию автомобилей ОАО «Автодок». Наружная стена капитальная, имеет 1окно, которые выходят во двор прилегающей территории. Окно с силикатными стеклами и воздушным зазором 100 мм. Смежными помещениями являются: кабинет №7 и коридор. Входная дверь деревянная оснащена замком. Система пожарной и охранной сигнализации построена по проводной схеме сбора информации и не выходит за пределы контролируемой зоны. Отопление осуществляется от центральной системы теплоснабжения. Линии ВТСС за пределы контролируемой зоны не выходят.

Перечень технических средств и систем установленных в кабинете директора ООО «Информбезопасность» представлена в таблице 2.3.

Таблица2.3 - Состав технических средств и систем кабинета директора ООО «Информбезопасность»

№п/п	Вид оборудования	Тип	Учетный(зав.) номер	Класс ТС
1	Кондиционер	STОRM 12	0041	ВТСС
2	Датчик движения	КС-101	6842	ВТСС
3	Датчик дыма	АГАР Р1	5374	ВТСС
4	Световой оповещатель	АСТРА 10	3543	ВТСС
5	Телефон	PАNАSОNIC KX-TS2365	8996	ВТСС

2.4 Анализ состояния инженерно-технической защиты информации в кабинете директора ООО «Информбезопасность»

Анализ потенциально опасных каналов утечки информации является одним из первых и обязательным этапом при анализе состояния инженерно-технической защиты информации в кабинете директора ООО «Информбезопасность».

Согласно типовой классификации существуют следующие виды каналов утечки информации:

· оптические;

· радиоэлектронные;

· материально-вещественные;

· виброакустические.

Каждый из них делится еще на несколько видов каналов, отличающихся средой распространения информации, средствами распространения информации и другими особенностями.

Задачей анализа состояния инженерно-технической защиты информации является оценка соответствия требованиям безопасности информации, выполнение которых позволяет защитить информацию от утечки по техническим каналам, вследствие:

· побочных электромагнитных излучений информативного сигнала;

· наводок побочных электромагнитных излучений информативного сигнала от ОТСС на ВТСС и их кабельные и проводные коммуникации, имеющие выход за границу контролируемой зоны:

· наводок побочных электромагнитных излучений информативного сигнала от ОТСС на цепи электропитания и заземления ОТСС;

· информативных сигналов от возможно внедренных в ТСИП, входящих в состав ОТСС, электронных закладочных устройств;

· хищения технических средств с хранящейся в них информацией или отдельных носителей информации;

· просмотра видовой информации с экранов дисплеев и других средств отображения информации, входящих в состав ОТСС, путем непосредственного наблюдения и (или) с помощью оптических средств.

· излучений акустических речевых сигналов;

· вибрационных сигналов, возникающих посредством преобразования акустических речевых сигналов при воздействии их на строительные конструкции и инженерно-технические коммуникации кабинета директора;

· радиоизлучений, модулированных акустическим речевым сигналом, возникающим при работе различных генераторов, входящих в состав ОТСС и ВТСС, или при наличии паразитной высокочастотной генерации в их узлах (элементах);

· электрических сигналов, возникающих в результате акустоэлектрических преобразований в ОТСС и ВТСС и распространяющихся по отходящим от них проводным линиям за пределы КЗ;

· акустических речевых сигналов, возникающих в результате использования возможно внедренных в ТСИП и (или) предметы интерьера кабинета директора электронных закладочных устройств;

· размещения технических средств, подключаемых к информационно-телекоммуникационным сетям международного информационного обмена, в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну.

Потенциально возможными каналами утечки информации в данном кабинете могут являться телефонные и электропроводные линии, окна помещения, дверные проемы и периметр самого помещения (стены, потолок, пол).

Основными источниками информации в кабинете директора ООО «Информбезопасность» являются:

1.Директор Общества.

2.Сотрудники Общества, присутствующие во время конфиденциальных совещаний.

3.Проекты, находящиеся в кабинете вовремя их рассмотрения.

Каждый из перечисленных источников защищаемой информации относится к одному или нескольким каналам утечки информации [46, с. 115]. При условии, если злоумышленник пытается воздействовать непосредственно на сам источник защищаемой информации, все вышеперечисленные источники могут образовать каналы утечки информации, указанные в таблице 2.4.

Таблица 2.4 - Источники информации в кабинете директора и образуемые ими каналы утечки

Источник информации	Возможный канал утечки информации
1	2
Директор Общества	Виброакустический
Сотрудники Общества, присутствующие во время конфиденциальных совещаний	Виброакустический
Проекты, находящиеся в кабинете во время их рассмотрения	Материально-вещественный, Оптический

Директор и сотрудники ООО «Информбезопасность» образуют виброакустический (речевой) канал утечки информации, поскольку злоумышленник может получить сведения во время их переговоров.

Приносимые в кабинет директора материалы, относящиеся к разрабатываемым в организации проектам, а также, какие-либо бумажные носители информации, образуют материально-вещественный канал утечки информации.

Данные материалы могут быть похищены злоумышленником. Также, данный источник информации имеет оптический канал утечки, образующийся в случаях, когда злоумышленник имеет возможность увидеть содержание данных документов (через открытую дверь, окна помещения, либо находясь в самом помещении).

Ввиду наличия различных сред распространения информации в кабинете директора, через которые может быть совершено противоправное действие, составлена таблица (см. Табл. 2.5), в которой для каждого источника информации определена среда распространения.

Таблица2.5 - Утечка информации в зависимости от ее источников и среды распространения

Возможный канал утечки информации	Источник информации	Среда распространения
1	2	3
Виброакустический	Директор и сотрудники Общества, присутствующие во время конфиденциальных совещаний	Воздух
		Периметр помещения (стены, двери, окна)
		Линия связи
Оптический	Проекты, находящиеся в кабинете во время их рассмотрения	Окна, открытые двери
		Дефекты стены (дыры, трещины)
Материально-вещественный	Проекты, находящиеся в кабинете во время их рассмотрения	Окна, открытые двери
		Дефекты стены (дыры, трещины)

Одним из основных технических каналов утечки информации принято считать оптический, в котором информация добывается путем фотографирования. Это обусловлено тем, что фотоизображение имеет:

· самое высокое разрешение даже на большом расстоянии от объекта наблюдения;

· самую высокую информационную емкость, обусловленную максимумом демаскирующих признаков, в том числе наличием такого информативного признака как цвет.

Источником оптического сигнала является объект наблюдения, который излучает сигнал или переотражает свет другого, внешнего источника. Отражательная способность зависит от длины волны падающего света или спектральных характеристик поверхности объекта наблюдения.

По диапазону излучения оптические каналы утечки информации могут быть образованы в видимой (а также в отраженном свете), инфракрасной и ультрафиолетовой областях спектра.

В силу того, что кабинет директора ООО «Информбезопасность» находится на 2 этаже, на окно установлено жалюзи, отсутствует компьютер, все бумажные носители с информацией ограниченного распространения хранятся в соответствующих шкафах, то какое-нибудь отражение с монитора компьютера, фотографирование бумажных носителей с конфиденциальной информацией через приоткрытую дверь или окно сведено к минимуму.

К радиоэлектронным относятся каналы утечки информации, возникающие за счет различного вида побочных электромагнитных излучений и наводок (ПЭМИН) средствами обработки, хранения и передачи информации (СОИ). Побочные электромагнитные излучения и наводки - это паразитные электромагнитные излучения радиодиапазона, создаваемые в окружающем пространстве устройствами, специальным образом для этого не предназначенными [43, с. 342].

Перехват побочных электромагнитных излучений СОИ осуществляется средствами радио-, радиотехнической разведки, размещенными вне контролируемой зоны.

Любой работающий компьютер излучает на всех частотах. Перехватив данные излучения, можно получить какую-либо полезную информацию. Например, содержание документов, с которыми работают сотрудники, если заинтересованному лицу доступно изображение экрана монитора.

В зависимости от физической природы возникновения информационных сигналов, а также среды их распространения и способов перехвата, технические каналы утечки информации (КУИ) по каналам ПЭМИН можно разделить на электромагнитные и электрические.

Сущность электромагнитных каналов утечки информации заключается в том, что информативный сигнал излучается от СОИ и линий передачи.

Сущность электрических каналов утечки информации заключается в том, что информативный сигнал наводиться на провода и линии, в том числе на цепи заземления и электропитания.

В кабинете директора ООО «Информбезопасность» отсутствуют средства обработки, хранения и передачи информации, поэтому утечка по радиоэлектронным каналам исключена.

Кроме сети электропитания для передачи информации в кабинете директора ООО «Информбезопасность» широко используются телефонные линии связи. Передача информации может осуществляться как на высоких, так и на низких частотах.

Любое несанкционированное подключение к линии, последовательное или параллельное, приведет к изменению параметров линии связи. Это и приведет к демаскированию или выявлению такого подключения [41, с.96].

Способами несанкционированного получения информации в телефонных линиях связи являются применение подслушивающих устройств.

Утечка информации по материально - вещественному каналу осуществляется по средствам несанкционированного распространения носителей с защищаемой информацией, которые могут быть, прежде всего, выбрасываемыми черновиками документов и использованной копировальной бумаги, забракованных деталей и узлов, демаскирующих веществ и др.

В кабинете директора ООО «Информбезопасность» материально - вещественный канал утечки информации полностью локализован, а именно бумажные носители конфиденциальной информации уничтожаются в уничтожителе бумаги, а также организационными мерами организована система разграничения доступа.

Образование акустического канала утечки информации вызвано распространением звуковых колебаний в звукопроводящем материале.

По воздуху акустическая информация может быть перехвачена в случае нахождения злоумышленника в самом кабинете директора или при подслушивании через открытую дверь в данном помещении.

Стены, двери и окна также служат средой распространения акустической информации. При плохой звукоизоляции стен, злоумышленник может перехватить информацию, но проникая и сам кабинет директора Общества, просто находясь поблизости от него [32, с.280].

В кабинете директора ООО «Информбезопасность» проводятся собрания, совещания, беседы и другие мероприятия речевого характера по конфиденциальным вопросам. Для определения защищенности конфиденциальной информации от утечки по виброакустическим каналам необходимы измерения акустических и виброакустических параметров ограждающих и инженерных конструкций кабинета директора ООО «Информбезопасность».

Для проведения измерений уровней акустических и виброакустических сигналов в помещении должны быть использованы типовые средства измерений и вспомогательное оборудование, из которых собираются формирователь акустического тест-сигнала и измерители акустических (вибрационных) сигналов и шумов.

В состав формирователя акустического тест-сигнала должны входить:

· генератор сигналов (ГС) или генератор шума (ГШ);

· усилитель мощности;

· акустический излучатель (АИ) - громкоговоритель или звуковая колонка.

В состав измерителя акустического сигнала и акустического шума должны входить:

· измерительный микрофон;

· микрофонный усилитель;

· измеритель шума и вибраций (шумомер).

В состав измерителя вибрационного сигнала и вибрационного шума должны входить:

· измерительный передатчик (акселерометр);

· предусилитель вибродатчика;

· измеритель шума и вибраций (шумомер).

Требуемые технические характеристики средств измерений и вспомогательного оборудования, отвечающих данным требованиям приведены в таблице 2.6.

Таблица 2.6 Требуемые технические характеристики средств измерений и вспомогательного оборудования

Наименование средств измерений и вспомогательного оборудования	Требуемые технические характеристики
1	2
Генераторы шумовых сигналов	Вид шумового сигнала: «белый шум» (с нормальным распределением плотности вероятности мгновенных значений), заотичная импульсная последовательность. Диапазон частот: 175-5600 Гц
Низкочастотные генераторы сигналов	Диапазон частот: 175-5600 Гц. Выходное напряжение не менее 5 В.
Усилители мощности	Диапазон частот: 175-5600 Гц. Выходное напряжение не менее 10 Вт.
Акустические излучатели	Диапазон воспроизводимых частот: 175-5600 Гц. Уровень характеристической чувствительности (уровень звукового давления на расстоянии 1 метров от излучателя в свободном поле) не менее 85 дБ. Неравномерность АЧХ не более ±6.
Измерители шума и вибраций (шумомеры)	Диапазон частот: 175-5600 Гц. Пределы измерения уровней сигналов 25-120 дБ. Класс точности не ниже 2го.
Измерительные микрофоны	Диапазон частот: 175-5600 Гц. Чувствительность не хуже 10 мВ/Па. Неравномерность АЧХ не более 2 дБ.
Вибродатчики (акселерометры)	Диапазон частот: 175-5600 Гц. Чувствительность не хуже 1 мВ/мс2. Неравномерность АЧХ не более 10%.
Полосовые октановые фильтры со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц.	Диапазон частот: 175-5600 Гц. Номинальное ослабление в полосе пропускания фильтра 0 дБ. Класс точности 1-й или 2-й. АЧХ в соответствии с ГОСТ 17168-82.

Так как ограждающими конструкциями (ОК) являются стены, окна, двери, то акустический излучатель необходимо размещать на высоте 1-15 метра от пола и на расстоянии 1,5 метров от ОК. Ось апертуры акустического излучателя направляется в сторону ограждающей конструкции по нормали к ее поверхности.

При измерении уровня излучаемого тест-сигнала в помещении, измерительный микрофон размещается на осевой линии апертуры акустического излучателя на расстоянии 1 метра от плоскости апертуры и на расстоянии 0,5 метров от поверхности ограждающей конструкции.

При измерении уровня акустического сигнала и акустического шума в контрольной точке измерительный микрофон размещается в выбранной точке контроля на расстоянии 0,5 метров от поверхности ограждающей конструкции.

При измерении уровня вибрационного сигнала и вибрационного шума в контрольной точке измерительный вибродатчик (акселерометр) размещается в выбранной контрольной точке непосредственно на поверхности ограждающей конструкции.

Измерения необходимо проводить при минимальных уровнях акустических и вибрационных шумов в помещении (при отсутствии персонала в помещении, при выключенных системах вентиляции, кондиционирования и других источников дискретных шумов, при отсутствии транспортных шумов и пр.).

Одним из услуг, предоставляемых ООО «Информбезопасность», является аттестация выделенных помещений, поэтому с соответствующим оборудованием для проверок и проведением измерений не возникнет проблем.

Оценка защищенности осуществляется с помощью сертифицированных инструментальных средств контроля защищенности информации в соответствии с действующими нормативными и методическими документами по защите.

Комплексная проверка кабинета директора ООО «Информбезопасность» проводилась с помощью автоматизированного комплекса оценки эффективности защиты речевой информации от утечки по акустическим и акустоэлектрическим каналам «Смарт».

Комплекс «Смарт» предназначен для контроля эффективности защиты речевой информации от утечки по акустическому, виброакустическому каналам, а также за счет низкочастотных наводок на токопроводящие элементы ограждающих конструкций и акустоэлектрических преобразований в ВТСС и линиях технических средств передачи информации.

Комплекс обеспечивает измерение акустического давления, виброускорения, а также уровней сигналов низкочастотных наводок на токопроводящих элементах ограждающих конструкций, акустоэлектрических преобразований в линиях технических средств передачи информации, расчет показателей эффективности защиты информации.

Система оценки защищенности выделенных помещений по виброакустическому каналу «Смарт» построена на базе многофункционального анализатора низкочастотных сигналов СКМ-21.

Управляющий компьютер подключается к измерительной системе через стандартные CОM (RS 232) и LPT порты. Все необходимые измерения производятся системой в автоматическом режиме, включая управление акустическим тест-сигналом и переключение датчиков. Задачей оператора является правильное размещение датчиков комплекса (микрофонов, акселерометра и акустического излучателя) и ручное включение (при необходимости) системы акустического или виброакустического зашумления по команде комплекса.

Метод оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому каналу заключается в определении коэффициентов звукоизоляции ограждающих конструкций в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц и последующим сопоставлением полученных коэффициентов с их нормативными значениями.

Метод оценки защищенности помещений от утечки речевой конфиденциальной информации по виброакустическому каналу заключается в определении коэффициентов виброизоляции ограждающих конструкций в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц и последующим сопоставлением полученных коэффициентов с их нормативными значениями.

Октавные уровни излучаемого тест-сигналов помещения, уровни акустического (виброакустического) сигнала в контролируемой точке определяются с использованием измерителя шума и вибраций (шумомера), на вход которого подключается либо приемник звука (микрофон), либо приемник вибраций (акселерометр).

Нормативное значение октавного коэффициента звукоизоляции (виброизоляции) рассматриваемого выделенного помещения, не оборудованного системой звукоусиления, для смежного помещения составляет 46 Дб, для уличного пространства (улица с транспортом) составляет 26 Дб.

Испытания (с использованием технических средств) защищенности информации от утечки по виброакустическому каналу проводят в местах возможного перехвата акустической информации, с учетом требований нормативных правовых актов и методических документов федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также требований документов по стандартизации в области защиты информации. При этом проверяют: защищенность помещения от утечки речевой конфиденциальной информации.

Порядок проведения оценки защищенности помещения включает в себя составление плана-схемы помещения и выбор местоположения контрольных точек.

Таким образом были выбраны следующие местоположения контрольных точек, представленные в приложении Г.1 и Д.1.

При проведении оценки защищенности от утечки речевой конфиденциальной информации по акустическому каналу в каждой контрольной точке проводилось по три измерения с последующим нахождением максимального значения суммарного акустического сигнала и акустического шума.

Для оценки защищенности помещения были проведены следующие действия:

· для каждой октавной полосы частот измерены излучаемые уровни тест-сигнала в помещении перед контролируемыми ограждающими конструкциями и элементами инженерно-технических систем.

· для каждой октавной полосы частот измерены уровни акустических (вибрационных) шумов L_Ш (U_Ш) и суммарных уровней сигналов и шумов L_(С+Ш) (U_(С+Ш)) в выбранных контрольных точках;

· для каждой октавной полосы частот рассчитаны уровни акустических сигналов в выбранных контрольных точках по формуле (2.1):



, (2.1)

где -расчетный уровень акустического сигнала в контрольной точке;

- уровень измеренного суммарного сигнала;

- измеренный уровень акустического шума в контрольной точке.

· для каждой октавной полосы частот рассчитаны уровни вибрационных сигналов в выбранных контрольных точках по формуле (2.2):

, (2.2)

где - расчетный уровень вибрационного сигнала в контрольной точке;

- уровень измеренного суммарного сигнала;

- измеренный уровень вибрационного шума в контрольной точке.

· для каждой октавной полосы частот измерены уровни тест-сигнала в помещении и определены для каждой контрольной точки октавные коэффициенты звукоизоляции по формуле (2.3):

, (2.3)

где -коэффициенты звукоизоляции;

- измеренный уровень акустического сигнала в помещении;

- расчетный уровень акустического сигнала в контрольной точке.

· для каждой октавной полосы частот измерены уровни тест-сигнала в помещении и определены для каждой контрольной точки октавные коэффициенты виброизоляции по формуле (2.4):

, (2.4)

где -коэффициенты виброизоляции;

- измеренный уровень вибрационного сигнала в помещении;

- расчетный уровень вибрационного сигнала в контрольной точке.

· сопоставлены полученные значения октавных коэффициентов звукоизоляции (виброизоляции) с их нормативными значениями.

В ходе проведения инструментально-расчетной оценки защищенности кабинета директора ООО «Информбезопасность» от утечки речевой конфиденциальной информации по виброакустическому каналу было установлено, что существующая защита помещения от утечки речевой информации не в полной мере соответствует нормативным значениям октавных коэффициентов звукоизоляции (виброизоляции), обеспечивающих защищенность помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам.

Таким образом, проанализировав систему инженерно-технической защиты кабинета директора Общества можно сделать вывод о том, что не все угрозы информационной безопасности нейтрализованы в полной мере. А именно существуют угрозы следующего характера:

· запись речевой информации противоправными средствами звукозаписи;

· скрытное прослушивание разговоров из смежных помещений с использованием электронных стетоскопов;

· прослушивание разговоров направленными микрофонами, установленными в ближайших строениях или транспортных средствах.



3. Проектирование системы инженерно-технической защиты информации в кабинете директора ООО «ИНФОРМБЕЗОПАСНОСТЬ»

3.1 Обоснование технических средств защиты информации

На сегодняшний день на рынке по защите информации имеется широкий выбор средств защиты от утечки по техническим каналам. В зависимости от предъявленных требований ООО «Информбезопасность» может выбрать себе средство защиты информации наиболее подходящее ей.

При анализе всех технических каналов утечки информации обрабатываемых и хранимых в кабинете директора Общества, было выявлено, что есть место быть следующим угрозам:

· запись речевой информации противоправными средствами звукозаписи;

· скрытное прослушивание разговоров из смежных помещений с использованием электронных стетоскопов;

· прослушивание разговоров направленными микрофонами, установленными в ближайших строениях или транспортных средствах.

Таким образом, комплекс защиты информации от записи речевой информации противоправными средствами звукозаписи, от скрытного прослушивания разговоров из смежных помещений с использованием электронных стетоскопов, а также от прослушивания разговоров направленными микрофонами, установленными в ближайших строениях или транспортных средствах включает средства, предотвращающие утечку акустической информации в простом акустическом канале утечки информации. Они должны обеспечить:

· звукоизоляцию и звукопоглощение речевой информации в помещениях;

· акустическое зашумление помещения, в котором ведутся разговоры по закрытой тематике.

Простейшим способом снижения вероятности утечки по выявленным каналам является уменьшение громкости речи во время разговора на конфиденциальные темы. Однако это возможно, если количество собеседников мало, а уровень шумов невелик. Громкость акустического сигнала уменьшают путем звукоизоляции, звукопоглощения и глушения звука.

Звукоизоляция обеспечивает локализацию акустических сигналов в замкнутом пространстве внутри контролируемых зон. Звукоизоляция достигается за счет отражения и поглощения акустической волны [28, с. 117].

Глушение звука достигается путем интенсивного поглощения энергии акустической волны при распространении ее в специальной конструкции, называемой глушителем [15, с.26].

Для повышения уровня акустических помех применяют активные средства - генераторы акустических помех.

Таким образом, для того чтобы обеспечить защиту от скрытного прослушивания разговоров из смежных помещений с использованием электронных стетоскопов, а также защиту от прослушивания разговоров направленными микрофонами, установленными в ближайших строениях или транспортных средствах целесообразно использовать метод звукоизоляции.

Наиболее слабыми элементами помещения являются окна и двери. Поскольку двери данного выделенного помещения удовлетворяют заданным требованиям, то необходимо повысить изоляцию окна. Оконные стекла необходимо изолировать от рам с помощью резиновых прокладок. Целесообразно применение тройного остекления окна на двух рамах, закрепленных на отдельных коробках. При этом на внешней раме устанавливаются сближенные стекла, а между коробками укладывается звукопоглощающий материал.

Что касается звукоизоляции стен, то для достижения наибольшей эффективности снижения уровня опасного сигнала площадь акустической отделки помещении должна составлять не менее 60%. Для защиты помещения лучше всего применить для отделки стен многослойную конструкцию из звукопоглощающих и звукоотражающих материалов, вместе которые и обеспечивают звукоизоляцию. В качестве звукопоглощающих используются материалы ТермоЗвукоИзол, базальтовые маты (МТБ-43, МТБ-30), в качестве звукоотражающих - гипсокартон, гипсоволокнистые листы.

Таким образом, многослойная конструкция из материалов различной структуры и плотности, а также тройное остекление окна снижает все возможные шумовые воздействия и обеспечивает защиту от скрытного прослушивания разговоров из смежных помещений с использованием электронных стетоскопов, а также защиту от прослушивания разговоров направленными микрофонами, установленными в ближайших строениях или транспортных средствах. Стоимость тройного стеклопакета составляет 12000 рублей, а стоимость многослойной конструкции и ее установка составляет 30000 рублей.

Что касается обеспечения защиты от записи речевой информации противоправными средствами звукозаписи, то целесообразно выбрать из всех вышеперечисленных методов защиты акустического канала утечки информации метод акустического зашумления помещения, в котором ведутся разговоры по закрытой тематике.

Соответственно необходимо минимизировать риск возникновения акустического канала утечки информации путём использования специальных технических средств защиты от злоумышленников.

Для защиты акустического канала утечки информации могут использоваться следующие устройства:

· шумовые генераторы;

· средства поиска закладок;

· защитные фильтры.

Сравнительная характеристика технических устройств защиты от подслушивания представлена в таблице 3.1.

Таблица 3.1 - Средства защиты акустического канала утечки информации

Название	Тип устройства	Дальность действия	Диапазон рабочих частот	Стоимость (руб.)
Соната - АВ, модель 3М	Система акустической и виброакустической защиты	Свыше 25 м2	90-11200	18 900
SEL SP-157	Генератор шума	Свыше 30 м2	90-11200 Гц	19 000
ГШ-1000М	Генератор шума	Свыше 40 м2	0,1-1000 МГц	23 000
ЛГШ-301	Генератор акустического шума	Свыше 20 м2	500-2500 МГц	61 500
«Бубен»	Генератор акустической помехи	Свыше 45 м2	400-18000 Гц	54 000

Таким образом, проанализировав средства защиты информации от применения подслушивающих устройств, целесообразно использовать систему защиты помещений по виброакустическому каналу SEL SP-157. Система является техническим средством защиты информации, предназначенным для защиты помещений от прослушивания через ограждающие их конструкции и инженерно-технические коммуникации.

Главной составляющей при выборе данного прибора является возможность использования оптимальных параметров акустического и виброакустического шумовых сигналов по любому каналу посредством их установки по октавным полосам с использованием микропроцессоров и 7-ми полосных эквалайзеров соответствующего генератора системы.

Принцип действия системы основан на формировании широкополосных акустических и виброакустических маскирующих шумовых помех (аналоговый белый шум или смешанный с цифровой речеподобной помехой).

Система состоит из центрального генераторного блока и подключаемых к нему по проводам пассивных электромагнитных (вибрационных) или электродинамических (акустических) преобразователей.

К специальным возможностям системы относят:

· вход в меню настройки защищён 4-хзначным изменяемым паролем;

· отсчёт времени наработки генерации шума и индикация его значений на жидкокристаллический индикатор отдельно по каждому каналу;

· защита от коротких замыканий в каждом канале;

· контроль состояния системы и каждого отдельного излучателя;

· регулировка уровня излучения каждого излучателя отдельно и по каналам;

· возможность дистанционного управления.

Система обеспечивает защиту от:

· микроволновых систем, в том числе лазерных микрофонов, используемых для дистанционного съема акустической информации с остеклений оконных проёмов;

· стетоскопных/контактных микрофонов, используемых для съема акустической информации через строительные конструкции (стены, потолки, полы, оконные проёмы и их остекление) и трубы водо- и газоснабжения;

· радио- и проводных микрофонов и средств магнитной записи, установленных в полостях стен, в пространстве подвесных потолков, каналах вентиляционных систем.

Технические характеристики SEL SP-157 приведены в таблице 3.2.

Таблица 3.2 - Технические характеристики SEL SP-157

1. Акустический и виброакустический шумовые сигналы:
Диапазон частот	90-11200Гц
Количество конструктивно независимых каналов	2
Выходная мощность каждого канала:	номинальная	4 Вт
	максимальная	не менее 9 Вт
Количество преобразователей, подключаемых к каждому каналу	от 1 до 10
Эквивалентное сопротивление нагрузки канала	12,5 Ом
Количество октавных полос регулировки уровня мощности шума	7
Средне-геометрические частоты октавных полос	125, 250 и 500 Гц, 1, 2, 4 и 8 кГц
Габаритно-весовые характеристики генератора	масса	не более 1600 г
	габариты	не более 170 х 170 х 50 мм



Таким образом, выбранный прибор SEL SP-157обеспечивает защиту от записи речевой информации противоправными средствами звукозаписи, что полностью удовлетворяет заданным требованиям.

После установки тройного стеклопакета, а также установки многослойной конструкции из материалов различной структуры и плотности была проведена повторная инструментально-расчетная оценка защищенности акустического и виброакустического канала утечки информации кабинета директора ООО «Информбезопасность» с использованием автоматизированного комплекса для проведения акустических и виброакустических измерений «Смарт» в тех контрольных точках, которые не удовлетворяли требованиям по итогам предыдущего измерения.

В результате было установлено, что существующая защита помещения от утечки речевой информации теперь в полной мере соответствует нормативным значениям октавных коэффициентов звукоизоляции (виброизоляции), обеспечивающих защищенность помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам.

В качестве дополнительных мер защиты в организационно - распорядительных документах Общества необходимо прописать следующие требования:

1. В нерабочее время, помещение должно закрываться на ключ.

2. В рабочее время, в случае ухода директора, помещение должно быть закрыто на ключ или оставлено под ответственность лиц, назначенных директором.

3. При проведении конфиденциальных мероприятий:

· окна и форточки помещения должны быть закрыты;

· окна помещения должны закрываться шторами (жалюзи);

· все посторонние лица, не имеющие к теме конфиденциального разговора отношения удаляются из коридора прилегающему к кабинету директора ООО «Информбезопасность»;

· радиотелефоны, оконечные устройства сотовой, пейджинговой и транковой связи должны быть удалены за пределы кабинета.

4. Запрещается использование в кабинете директора радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи. При установке в кабинете телефонных и факсимильных аппаратов с автоответчиком и (или) спикерфоном, имеющих выход в городскую АТС, следует отключать эти аппараты на время проведения конфиденциальных мероприятий.

5. Периодический контроль эффективности мер защиты информации кабинете директора осуществляется специалистами отдела технической защиты информации.

Таким образом суммарная стоимость на закупку и установку тройного стеклопакета, многослойной конструкции, а также системы защиты помещений по виброакустическому каналу SEL SP-157 составил 61 000 рублей.

3.2 Разработка системы управления информационной безопасности

Управление представляет собой специфический вид трудовой деятельности. Оно выделилось в особую разновидность труда вместе с кооперацией и разделением труда. В условиях кооперации каждый производитель выполняет только часть общей работы, поэтому для достижения общего результата требуются ...