Информационная безопасность

Таким образом, при построении системы защиты информации, большое значение имеет разработка концепции управления информационной безопасности. Т.к. от контроля и хорошего управления зависит эффективное функционирование созданной системы защиты информации.

В данном дипломном проекте проводится проектирование системы инженерно-технической защиты информации в кабинете директора ООО «Информбезопасность». Путем анализа рынка средств защиты информации были выбраны наиболее подходящие и приемлемые для защиты от выявленных технических каналов утечки в ООО «Информбезопасность».

Как показывает практика, создание системы защиты информации это часть работы, еще и необходимо качественное управление для эффективной работы.

Ответственным за разработку и реализацию политики управления информационной безопасностью является директор ООО «Информбезопасность», который отвечает за ее реализацию и пересмотр в соответствии с установленной процедурой. Указанная процедура обеспечивает осуществление пересмотра политики управления информационной безопасностью в соответствии с изменениями, влияющими на основу первоначальной оценки риска, появление новых уязвимостей или изменения организационной или технологической инфраструктуры. Периодические пересмотры должны осуществляться ежегодно и включать:

· проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности;

· определение стоимости мероприятий по управлению информационной безопасностью;

· оценку влияния изменений в технологиях.

Для координации внедрения мероприятий по управлению информационной безопасностью в организации создается совет, включающий руководителей подразделений Общества:

· начальник отдела технической защиты информации;

· начальник отдела криптографической защиты информации;

· начальник первого отдела;

· начальник коммерческого отдела.

Задачи совета:

· согласовывает конкретные функции и обязанности в области информационной безопасности в рамках всей организации;

· согласовывает конкретные методики и процедуры информационной безопасности, например, такие как оценка рисков, классификация информации с точки зрения требований безопасности;

· согласовывает и обеспечивает поддержку инициатив и проектов в области информационной безопасности в рамках всей организации, например, таких как разработка программы повышения осведомленности сотрудников в области безопасности;

· обеспечивает учет включения требований безопасности во все проекты, связанные с обработкой и использованием информации;

· проводит анализ инцидентов нарушения информационной безопасности;

· способствует демонстрации поддержки информационной безопасности со стороны руководства организации [22, с. 54].

На директора ООО «Информбезопасность» возлагается ответственность за разработку и внедрение системы управления информационной безопасностью, а также за оказание содействия в определении мероприятий.

Руководители структурных подразделений Общества несут ответственность за определение подлежащих защите ресурсов и реализацию мероприятий по управлению информационной безопасностью в подразделениях организации. В каждом подразделении назначается ответственное лицо (администратора) для каждого информационного актива, в чьи повседневные обязанности входит обеспечение безопасности данного актива.

Приказом директора ООО «Информбезопасность» определяются:

· информационные активы и процессы (процедуры) безопасности, связанные с каждой отдельной автоматизированной системой,

· ответственные за эксплуатацию и обеспечение безопасности каждой автоматизированной системы;

· уровни полномочий (авторизации) пользователей автоматизированных систем.

Все основные информационные активы должны быть учтены и закреплены за ответственными лицами приказом директора Общества. Приказ должен идентифицировать владельцев всех основных активов и определить их ответственность за поддержание соответствующих мероприятий по управлению информационной безопасностью. Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть указано фактическое местоположение актива.

Информационными активами, связанными с информационными системами, являются:

· информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;

· активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;

· услуги: вычислительные услуги и услуги связи, основные коммунальные услуги (отопление, освещение, электроэнергия, кондиционирование) [44, с. 68].

Функции (роли) и ответственность в области информационной безопасности, должны быть документированы. В должностные инструкции следует включать как общие обязанности по внедрению или соблюдению политики безопасности, так и специфические особенности по защите определенных активов или действий, касающихся безопасности.

Обязанности всех сотрудников организации утверждаются директором ООО«Информбезопасность».

Руководители структурных подразделений обязаны:

· ознакомить под расписку работника, которому для выполнения его трудовых обязанностей нужен доступ к информации, распространение которой в Российской Федерации ограничивается или запрещается, с перечнем информации, составляющей конфиденциальную информацию, обладателями которой является ООО «Информбезопасность»;

· создать работнику необходимые условия для соблюдения им установленного порядка организации и проведения работ по защите конфиденциальной информации в ООО «Информбезопасность».

Проверки сотрудников, принимаемых в постоянный штат, следует выполнять по мере подачи заявлений о приеме на работу. В них необходимо включать следующее:

· наличие положительных рекомендаций, в частности в отношении деловых и личных качеств претендента;

· проверка (на предмет полноты и точности) резюме претендента;

· подтверждение заявляемого образования и профессиональных квалификаций;

· независимая проверка подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа).



3.3 Оценка эффективности разработанной системы инженерно-технической защиты информации

В третьей главе производилась разработка системы инженерно-технической защиты информации в кабинете директора ООО«Информбезопасность». Для оценки эффективности созданной системы защиты информации необходимо очередной раз провести анализ технических каналов утечки информации.

Как уже упоминалось во второй главе, основным классификационным признаком технических каналов утечки информации является физическая природа носителя. По этому признаку они делятся на:

· оптические;

· радиоэлектронные;

· виброакустические;

· материально-вещественные.

В кабинете директора ООО «Информбезопасность» отсутствуют средства обработки, хранения и передачи информации, поэтому утечка по радиоэлектронным каналам исключена.

В силу того, что кабинет директора ООО «Информбезопасность» находится на 2 этаже, на окно установлено жалюзи, отсутствует компьютер, все бумажные носители с информацией ограниченного распространения хранятся в соответствующих шкафах, то какое-нибудь отражение с монитора компьютера, фотографирование бумажных носителей с конфиденциальной информацией через приоткрытую дверь или окно сведено к минимуму.

В кабинете директора ООО «Информбезопасность»материально - вещественный канал утечки информации полностью локализован, а именно бумажные носители конфиденциальной информации уничтожаются в уничтожителе бумаги, а также организационными мерами организована система разграничения доступа.

После применения всех дополнительных мер и средств защиты информации в кабинете директора ООО «Информбезопасность» была проведена повторная инструментально-расчетная оценка защищенности акустического и виброакустического канала утечки информации с использованием автоматизированного комплекса для проведения акустических и виброакустических измерений «Шепот».

В результате было установлено, что существующая защита помещения от утечки речевой информации в полной мере соответствует нормативным значениям октавных коэффициентов звукоизоляции (виброизоляции), обеспечивающих защищенность помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам.

Исходя из анализа технических каналов утечки информации, можно сделать вывод, что все выявленные угрозы локализованы. И на данный момент вероятность утечки отсутствует.

Система защиты информации Общества должна быть экономически целесообразной. Эффективность определяется с помощью различных показателей, при этом сопоставляются данные, выражающие эффект (прибыль, объем производства, экономия от снижения издержек) с затратами, обеспечивающими этот эффект (капитальные вложения, текущие издержки).

Расчет экономического эффекта и эффективности защиты информации основывается на выявлении ущерба, нанесенного владельцу информации противоправным ее использованием и позволяет оценить результативность защиты информации. Проведя анализ результатов расчетов, возможно внести изменения в систему защиты информации для более эффективной ее защиты, недопущения разглашения охраняемой информации в дальнейшем, т.к. разглашение данной информации влечет за собой огромные убытки (ущерб) от контрафактного ее использования злоумышленником.

Т.к. на сегодняшний день не существует определенной расценки сведений конфиденциального характера, поэтому, собрав комиссию из 4-х человек, куда входили директор, начальник первого отдела, начальник отдела криптографической защиты информации и начальник отдела технической защиты информации, выделили, в зависимости от степени важности и ценности информации, три грифа конфиденциальности: базовый, расширенный и усиленный. Каждому грифу конфиденциальности установили свою условную цену единице информации (Мбайт):

· базовый - 60 руб.;

· расширенный - 600 руб.;

· усиленный - 2500 руб.

Стоимость защищаемой информации определяется в соответствии с формулой (3.1):

Ц = V * Z,(3.1)

где Ц - цена защищаемой информации в условных единицах;

V - объём защищаемой информации в мегабайтах;

Z - цена за 1 Мбайт информации.

Если объем информации в электронном и бумажном виде дополняют друг друга, то мы учитываем наибольший объем.

Стоимости и объем элементов информации представлены в таблице 3.4.

Таблица3.4 - Объем и стоимость элементов информации

Наименование элемента информации (объем, Мбайт)	Гриф конфиденциальности	Цена информации, руб.
БД «Клиенты 2.1» (300)	Б	18 000
БД «Удостоверяющий центр» (500)	У	1 250 000
БД «1С: Бухгалтерия» (50)	Р	30 000
БД «1С: Зарплата и кадры» (50)	Р	30 000
Сведения в области защиты КИ (250)	Р	150 000
Сведения составляющие коммерческую тайну (70)	Б	4 200
Итого:	1 482200



Таким образом путем экспертной оценки было выяснено, чтов ООО «Информбезопасность» циркулирует информация на общую сумму в 1 482 200 рублей.

Применение мер защиты информации, закупка, установка и настройка средств защиты информации обойдется для ООО «Информбезопасность» в 61 000 рублей.

Чистая годовая прибыль ООО «Информбезопасность» в среднем составляет порядка5-6 миллионов, что в пару десятков раз больше суммы необходимой для создания системы защиты информации.

Исходя из вышесказанного, можно сделать вывод, о том, что спроектированная система инженерно-технической защиты информации в кабинете директора ООО «Информбезопасность» эффективна и сумма, необходимая для реализации проекта, незначительная.



Заключение

В данном дипломном проекте анализировалась существующая система инженерно-технической защиты информации в кабинете директора ООО «Информбезопасность».В качестве объекта защита рассматривался кабинет директора ООО «Информбезопасность».

Для достижения цели дипломного проекта были выполнены следующие задачи:

· изучены теоретические аспекты построения системы инженерно- технической зашиты информации;

· исследована организационная характеристика ООО «Информбезопасность»;

· проанализировано состояние инженерно-технической зашиты информации в кабинете директора ООО «Информбезопасность»;

· обоснован выбор средств защиты от утечки информации по виброакустическому каналу;

· разработана система управления информационной безопасностью;

· оценена эффективность разработанной системы инженерно-технической защиты информации.

В результате анализа инженерно-технической защиты информации ООО «Информбезопасность» было выявлено, что оптические, радиоэлектронные и материально-вещественные каналы утечки информации в рассматриваемом кабинете директора полностью соответствуют нормам защиты.

С целью защиты информации от утечки по оптическому каналу в кабинете директора Общества используются, пространственные ограждения, а также средства преграждения или значительного ослабления отраженного света, а именно жалюзи.

В кабинете директора ООО «Информбезопасность» отсутствуют средства обработки, хранения и передачи информации, поэтому утечка по радиоэлектронным каналам исключена.

Материально - вещественный канал утечки информации также полностью локализован. Вышедшие из строя магнитные и иные носители информации ЭВМ, на которых во время эксплуатации содержалась информация с ограниченным доступом, уничтожаются механическим способом, путем физического разрушения, а бумажные носители уничтожаются в уничтожителе бумаги.

Что касается проверки виброакустического канала утечки информации, то была проведена комплексная проверка кабинета директора с использованием автоматизированного комплекса для проведения акустических и виброакустических измерений «Смарт».

В ходе проведения инструментально-расчетной оценки защищенности кабинета директора Общества от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам было установлено, что существующая защита помещения от утечки речевой информации не в полной мере соответствует нормативным значениям октавных коэффициентов звукоизоляции (виброизоляции).

В качестве системы защиты речевой информации была выбрана система защиты помещений по виброакустическому каналу SEL SP-157, являющаяся активным техническим средством защиты информации от утечки по акустическому и виброакустическому каналам, снижающая уровень громкости сигнала с речевой информацией не менее чем на 20 Дб.

Расчёт основных характеристик защищённости проектируемой системы инженерно-технической защиты информации показал, что после установки тройного стеклопакета, а также установки многослойной конструкции, риск подслушивания во всех возможных каналах был полностью устранён.

Таким образом, в результате проектирования системы инженерно- технической защиты информации в кабинете директора ООО «Информбезопасность» были предложены следующие мероприятия:

1. Установка тройного стеклопакета, а также установка многослойной звукоизоляционной конструкции для защиты от скрытного прослушивания разговоров из смежных помещений с использованием электронных стетоскопов, а также защиту от прослушивания направленными микрофонами, установленными в ближайших строениях или транспортных средствах.

2. Генератор шума SEL SP-157 для защиты от записи речевой информации противоправными средствами звукозаписи.

3. Внесение дополнительных пунктов требований по защите информации в кабинете директора в организационно-распорядительные документы ООО «Информбезопасность».

Применение мер защиты информации, закупка, установка и настройка средств защиты информации обойдется для ООО «Информбезопасность» в 61 000 рублей.

Таким образом, цель проекта была достигнута в полном объеме. Разработанная система инженерно-технической защиты информации в кабинете директора ООО «Информбезопасность» полностью соответствует заданным требованиям и может быть применена на практике.



Библиографический список

1. Абалмазов, Э.И. Методы и инженерно-технические средства противодействия информационным угрозам : учебник для вузов / Э.И. Абалмазов - М. : Гротек, 2012. - 248 с.

2. Абалмазов, Э.И. Методы и инженерно-технические средства противодействия информационным угрозам : учебник для вузов / Э.И. Абалмазов - М. : Гротек, 2011 г. - 248 с.

3. Андрианов, В.И. Шпионские штучки и устройства для защиты объектов и информации: учебник для вузов / В.И. Андрианов, В.А. Бородин, А.В. Соколов. - СПб. : Лань, 2012. - 272 с.

4. Анин, Б.Ю. Защита компьютерной информации. - СПб. : «BHV-Санкт-Петербург» - 2008. - 384 с.

5. Баранов, В.М. Защита информации в системах и средствах связи : учебное пособие для вузов / В.М. Баранов, Г.В. Вальков, М.А. Еремеев - Санкт- Петербург : ВИККА имени А.Ф. Можайского, 2010. - 113 с.

6. Бармен, С.К. Разработка правил информационной безопасности / С.К. Бармен - М. : Издательский дом «Вильямс», 2011. - 208 с.

7. Вартанесян, В.А. Радиоэлектронная разведка : учебник для вузов / В.А. Вартанесян - М : Военное издательство, 2010. - 200 с.

8. Василевский, И.В. Способы и средства предотвращения утечки информации по техническим каналам : учебник для вузов / И.В. Василевский - М. : НПЦ «Нелк», 2012.-200 с.

9. Введение в защиту информации : учеб. пособие / В.Б. Байбурин - М. : «Инфра-М», 2011. - 128 с.

10. Викторов, А.Д. Побочные электромагнитные излучения персонального компьютера и защита информации. Защита информации : учебник для вузов / А.Д. Викторов, В.И. Генне, Э.В. Гончаров - 3 - е изд., М. : Москва, 2012. - 72 с.

11. Волгин, М.Л. Паразитные связи и наводки : учебник для вузов / М.Л. Волгин - М. : Советское радио, 2010. - 300 с.

12. Галатенко, В.А. Стандарты информационной безопасности : справ. пособие / В.А. Галатенко - М. : Интернет-университет информационных технологий, 2013. - 328 c.

13. Генне, В.И. Защита информации от утечки через побочные электромагнитные излучения цифрового электромагнитного оборудования. Защита информации : учебник для вузов / В.И. Генне - 2 - е изд. - М. : Конфидент, 2011. - 95 с.

14. Герасименко, В.А. Основы защиты информации : учеб. пособие. / В.А. Герасименко., А.А. Малюк -М. : МГИФИ, 2010. - 538 с.

15. Грибунин, В.Г. Комплексная система защиты информации на предприятии : учебное пособие для вузов / В.Г. Грибунин, В.В. Чудовский. - М. : Издательский центр «Академия», 2009. - 416 с.

16. Диева, С.А. Организация и современные методы защиты информации / С.А. Диева - М. : Концерн «Банковский деловой центр», 2010. - 472с.

17. Зайцев, А.П. Техническая защита информации : учебник для вузов / А.П. Зайцев, А.А. Шелупанов. - М. : Горячая линия - Телеком, 2012. - 616 с.

18. Куприянов, А.И. Основы защиты информации : учеб. Пособие для студ. высш. учеб. Заведений / А.И. Куприянов, А.В. Сахаров, В.А. Шевцов - М. : Издательский центр «Академия», 2013. - 256 с.

19. Лунегов, А.Н. Технические средства и способы добывания и защиты информации : учебник для вузов / А.Н. Лунегов. - М. : ВНИИ «Стандарт», 2011. - 95 с.

20. Мироничев, С.К. Коммерческая разведка и контрразведка или промышленный шпионаж в России и методы борьбы с ними : учебник для вузов / С.К. Мироничев. - М. : «Дружок», 2010. - 89 с.

21. Опарина, М.В. Защита информации : учебник для вузов / М.В. Опарина. - М. : Смарт, 2011. - 157 с.

22. Петраков, А.В. Защита и охрана личности и информации : справочное пособие / А.В. Петраков. - М. : Радио и связь, 2012. - 94 с.

23. Петраков, А.В. Основы практической защиты информации : учебное пособие / А.В.Петраков - М. : Радио и связь, 2011.-368с.

24. Петраков, А.В. Основы практической защиты информации : учебное пособие для вузов / А.В. Петраков - М. : Радио и связь, 2010. - 203 с.

25. Поляков, А.В. Промышленный шпионаж и как с ним бороться. Мы и безопасность : учебник для вузов / А.В. Поляков. - М. : Литера, 2012.- 95 с.

26. Попов, Л.И., Зубарев А.В. Основные принципы повышения эффективности реализации мероприятий по комплексной защите информации. «Альтпресс», 2009. - 512 c.

27. Расторгуев, С.П. Абсолютная система защиты: учебник для вузов / С.П. Расторгуев. - М. : Литера, 2012. - 130 с.

28. Семененко, В.А. Информационная безопасность : учебное пособие для вузов / В.А. Семененко - М. : ЦНТИ, 2011. - 144 с.

29. Семкин, С.Н. Защита информации. Основы информационной безопасности объектов : курс лекций / С.Н. Семкин - Орел. : ВИПС, 2010. - 269 с.

30. Сидорин, Ю.С. Технические средства защиты информации: учеб. пособие / Ю.С. Сидорин - СПб. : Изд-во Политехн. ун-та, 2012. - 141 с.

31. Смирнова, А.Н. Защита информации : учебник для вузов / А.Н. Смирнова. - М. : Смарт, 2012. - 176 с.

32. Стрельцов, А.А. Обеспечение информационной безопасности России / Под ред. В.А. Садовничего и В.П. Шерстюка - М. : МЦНМО, 2010. - 296 с.

33. Тедеев, А.А. Информационное право : учебник для вузов / А.А. Тедеев - М. : Эксмо, 2011. - 464 с.

34. Тимец, Б.В. Сделайте свой офис безопасней : учебник для вузов / Б.В. Тимец. - М. : Конфидент, 2011. - 100 с.

35. Титоренко, Г.А. Информационные технологии управления : учеб. пособие для вузов / Г. А. Титоренко. - М. : ЮНИТИ-ДАНА, 2010. - 439 с.

36. Торокин, А.А. Основы инженерно - технической защиты информации : учебник для вузов / А.А. Торокин. - М. : Издательство «Ось», 1998. - 336 с.

37. Халяпин, Д.Б. Защита информации. Вас подслушивают? Защищайтесь! : учебник для вузов / Д.Б. Халяпин. - 2-е изд., испр. и доп. - М. : НОУ ШО «Баярд», 2011. - 432с.

38. Халяпин, Д.Б. Основы защиты промышленной и коммерческой информации. Термины и определения : учебник для вузов / Д.Б. Халяпин, В.И. Ярочкин. - М. : ИПКИР, 2012. - 170 с.

39. Хорев, А.А. Защита информации от утечки по техническим каналам. Часть 1. Технические каналы утечки информации : учебник для вузов / А.А. Хореев. - М. : Гостехкомиссия РФ, 2000. - 320 с.

40. Хорев, А.А. Способы и средства защиты информации : учебник для вузов / А.А. Хореев. - М. : МО РФ, 2012. - 316 с.

41. Цуканова, О.А. Экономика защиты информации : учебное пособие / О.А. Цуканова, С.Б. Смирнова. - СП6. : СП6 ГУИТМО, 2012. - 59 с.

42. Черняков, М.В., Петрушин А.С. Основы информационных технологий. Учебник для вузов : - М. : ИКЦ «Академкнига», 2011. - 345 с.

43. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. М. : ДМК Пресс, 2010. - 458 с.

44. Шрамков, И.Г. Защита и обработка конфиденциальных документов : учеб. пособие / И.Г. Шрамков, Ю.Г. Крат. - Хабаровск : Изд-во ДВГУПС, 2012. - 500 с.

45. Яковлев, П.А. Защита информации : учебник для вузов / П.А. Яковлев. - М. : Пресс, 2011 - 120 с.

46. Ярочкин, В.И. Технические каналы утечки информации : учебник для вузов / В.И. Ярочкин. - М. : ИПКИР, 2011. - 106 с.

47. Ярочкин, В.И. Основы защиты информации. Служба безопасности предприятия : учебник для вузов / В.И. Ярочкин, Д.Б. Халяпин. - М. : ИПКИР, 2013. - 42 с.

48. Ярочкин, В.И. Система безопасности фирмы : учебник для вузов / В.И. Ярочкин. - М. : «Ось-89», 2011 - 192 с.

49. Ярочкин, В.И. Словарь терминов и определений по безопасности информации : учебник для вузов / В.И. Ярочкин, Т.А. Шевцова. - М. : «Ось-89», 2011. - 48 с.

50. Ярочкин, В.И. Безопасность информационных систем : учебник для вузов / В.И. Ярочкин. - М. : «Ось-89», 2010 - 192 с.

Размещено на Allbest.ru

...