Разработка системы защиты информации здания организации "Гарант"

Размещено на http://www.allbest.ru/

1

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

«Юго-Западный государственный университет»

(ЮЗГУ)

Кафедра защиты информации и систем связи

Курсовой проект

По дисциплине: «Инженерно-техническая защита информации»

На тему: «Разработка системы защиты информации здания организации «Гарант»»

Специальность10.05.03 - «Информационная безопасность автоматизированных систем»

Автор проекта А. Р. Касимов

Руководитель проекта И. В. Калуцкий

Курск 2015



Введение

В последнее время инженерно-техническая защита информации является одной из основных направлений в обеспечении информационной безопасности.

Данная тенденция обусловлена развитием методов и средств добывания информации, позволяющих несанкционированно получать большой объем информации на безопасном расстоянии от источников, огромными достижениями микроэлектроники.

Целью данного курсового проекта является проектирование системы инженерно-технической защиты информации для коммерческой организации медико-биологической экспертизы "Гарант", по виброакустическому и материально-вещественному каналам; комплексная защита помещения - «Зал презентаций».

Объектом изучения стала коммерческая организация, производящая различные виды медико-биологической экспертизы "Гарант". Предмет изучения курсового проекта - средства и способы инженерно-технической защиты информации.

В состав фирмы входят: пост охраны, фойе, приёмный кабинет, кабинет манипуляций, 5 лабораторий, информационный отдел, серверная, архив, отдел обработки результатов, кабинет директора, зал презентаций, планово-экономический отдел, 2 туалета, буфет. Фирма располагается на первом этаже и занимает весь этаж.

Информацию, обрабатываемую в данной организации, следует относить к коммерческой тайне, в соответствии с законом о коммерческой тайне от 29.07.2004 N 98-ФЗ (ред. от 11.07.2011).



1. Инженерно-техническая защита информации

Информация - набор некоторых сведений о каком-либо объекте или окружающем мире, которые могут иметь как бытовой, так и научный характер. Информация является уникальным объектом в связи со своими свойствами, не имеет физических параметров, у нее нет массы, размеров, энергии. Информация может храниться, обрабатываться, передаваться по каналам связи и видоизменяться.

Сама по себе информация в чистом виде не может быть выделена, она может существовать только на каком-то материальном носителе, в вещественном объекте, в физическом поле.

Во-первых, информация доступна человеку, если она содержится на материальном носителе. Так как с помощью материальных средств можно защищать только материальный объект, то объектами защиты являются материальные носители информации.

Во-вторых, ценность информации оценивается степенью полезности ее для пользователя (собственника, владельца, получателя). Информация может обеспечивать ее пользователю определенные преимущества: приносить прибыль, уменьшить риск в его деятельности в результате принятия более обоснованных решений и др.

Инженерно-техническая защита информации представляет собой достаточно быстро развивающуюся область науки и техники на стыке теории систем, физики, оптики, акустики, радиоэлектроники, радиотехники, электро и радиоизмерений и других дисциплин. Круг вопросов, которыми вынуждена заниматься инженерно-техническая защита, широк и обусловлен многообразием источников и носителей информации, способов и средств её добывания, а, следовательно, и защиты. Для обеспечения эффективной инженерно-технической защиты информации необходимо определить:

- Что защищать техническими средствами в данной организации, здании, помещении;

- Каким угрозам подвергается защищаемая информация со стороны злоумышленников и их технических средств;

- Какие способы и средства целесообразно применять для обеспечения информационной безопасности с учётом как величины угрозы, так и затрат на её предотвращение;

- Как организовать и реализовать техническую защиту информации в организации.

При решении задач защиты информации объективно существует необходимость учёта большого числа различных факторов, что не удаётся, как правило, сделать на основе здравого смысла. Поэтому основы инженерно-технической защиты информации должны содержать как как теоретические знания, так и методические рекомендации, обеспечивающие решение этих задач.

По функциональному назначению средства инженерно-технической защиты делятся на следующие группы:

1. Физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий.

2. Аппаратные средства защиты информации -- это различные технические устройства, системы и сооружения, предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа.

3. Программные средства. Программная защита информации -- это система специальных программ, реализующих функции защиты информации. Выделяют следующие направления использования программ для обеспечения безопасности конфиденциальной информации

· защита информации от несанкционированного доступа;

· защита информации от копирования;

· защита информации от вирусов;

· программная защита каналов связи.

4. Защита информации от несанкционированного доступа для защиты от чужого вторжения обязательно предусматриваются определенные меры безопасности.

5. Криптографические средства -- это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

Инженерно-техническая защита информации включает комплекс организационных и технических мер по обеспечению безопасности информации техническими средствами. Она решает следующие задачи:

1. Предотвращение проникновения злоумышленника к источникам информации с целью ее уничтожения, хищения или изменения.

2. Защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении.

3. Предотвращение утечки информации по различным техническим каналам.



2. Моделирование объекта защиты

Исходные данные для моделирования объектов защиты содержатся в перечне сведений, содержащих семантическую и признаковую информацию составляющих коммерческую тайну. Для организации, независимо от формы собственности, конкретный перечень сведений, составляющих коммерческую тайну, основывается на перечне сведений, отнесенных к коммерческой тайне в приложениях Закона Российской Федерации «О коммерческой тайне» на перечнях сведений заказывающего или выполняющего заказ ведомства. В коммерческих структурах перечень сведений, составляющих коммерческую тайну, определяется руководством организации. Перечни защищаемых демаскирующих признаков продукции разрабатываются при ее создании. Это осуществляется для выбора необходимых программных и технических средств защиты информации на этапе проектирования системы.

Источники защищаемой информации определяются путем ее структурирования. Можно предложить иные, более простые способы определения источников, например, составить списки допущенных к конфиденциальной информации должностных лиц, создать системы разграничения доступа, ранжировать информации и др. Однако такой способ определения источников информации не гарантирует полноту учета всех источников, требуемую системным подходом.

Для выполнения курсового проекта необходимо произвести структурирование информации, конкретизировать перечень сведения организации для разработки модели защиты объекта информации с помощью инженерно-технических средств защиты.

2.1 Структурирование защищаемой информации

Структурирование информации представляет собой многоуровневый процесс детализации и конкретизации тематических вопросов перечней сведений. Оно проводится путем классификации информации в соответствии со структурой, функциями и задачами организации с привязкой элементов информации к ее источникам. Организация «Гарант», работая в сфере экспертизы, проводит широкий спектр медико-биологических экспертиз. В связи с этим, организация осуществляет работу с конфиденциальной информацией, в которую входит перечень сведений о клиентах, о проводимых экспертизах и архивных данных, методы проведения экспертиз, документацию и др. Процесс структурирования продолжается до уровня иерархии, информация на котором содержится в одном конкретном источнике (должностном лице, документе и т. д.).

Структурированная информация, представленная в виде графа, также может быть изображена в таблицы. Нулевой (верхний) уровень графа соответствует понятию «защищаемая информация», а n-й (нижний)-- информации одного источника из перечня источников организации.

Таблица 2.1 - Цена информации в условных единицах

Категория	Гриф конфиденциальности	Цена 1кб инф. в y. e.
I	Особой важности	1
II	Совершенно конфиденциально	0,8
III	Конфиденциально	0,6
IV	Для внутреннего пользования	0,1

Одна условная единица составляет 1000 рублей. Для оценки стоимости информации был выбран метод оценки общего объема информации по формуле:

,

где Ц - цена информации; Ц_кб - цена информации за 1кб; О - объем информации в Кб.

Объем информации в Кб может быть вычислен как:

,

где О - общий объем информации, Кб; О_циф - объём цифровой информации, Кб; О_бум - объём бумажной информации, стр; О₀ - средний объём информации на странице, Кб.

Установлено, что средний объем информации в странице размером А4 для шрифта Times New Roman 14 составляет примерно 2,5 Кб на страницу, а страница в Word - 36 Кб. Расчет стоимости конфиденциальной информации представлен в таблице, где О_циф - объем информации на электронных носителях, О_бум - объем информации на бумажных носителях.

Расчет стоимости конфиденциальной информации приведен в Таблице 2.2.

Таблица 2.2 - Расчет стоимости конфиденциальной информации

Наименование элемента информации	Вид носителя	Объем, стр.	Объем, стр./кб	Цена, Кб/у.е.	Цена инф. у.е.	Цена инф. Руб.
Структура организации	Бумажный	7	2,5	0,1	7,15	7150
	Электронный	1,5	36
Методы управления	Бумажный	32	2,5	0,6	48	48000
Программа исследований	Бумажный	34	2,5	0,6	461,4	461400
	Электронный	19	36
Сведения безопасности	Бумажный	23	2,5	0,6	34,5	34500
Финансы	Бумажный	14	2,5	0,8	258,4	258400
	Электронный	8	36
База данных сотрудников	Бумажный	20	2,5	0,6	418,8	418800
	Электронный	18	36
Должностные инструкции	Бумажный	12	2,5	0,1	3	3000
Соглашения и переговоры с сотрудниками	Электронный	75	2,5	0,6	112,5	112500
Внутренний распорядок для сотрудников	Электронный	5	2,5	0,6	7,5	7500
Проводимые экспертизы	Электронный	61	2,5	1	152,5	1525000
Результаты (в т.ч. архивные)	Бумажный	10	2,5	1	3265	3265000
	Электронный	90	36
Сведения о конкурентах	Электронный	23	36	0,6	496,8	496800
Базы данных заказчиков	Электронный	140	36	0,8	4032	4032000
Соглашения и переговоры с заказчиками	Бумажный	176	2,5	1	440	440000

Результаты вычислений в у.е:

1. Распоряжения 7•2,5•0,6=10,5

2. Отчеты 72•2,5•0,6=108

3. Сведения об основной деятельности учреждения 8•2,5•0,6=12

4. Сведения об организационно-правовой структуре 11•2,5•0,6=16,5

5. Сведения о бюджете фирмы 4•2,5•0,6=6

6. Сведения о денежных операциях 7•36•0,8=201,6

7. Договора 200•2,5•0,6=300

8. Планы будущих действий - утечка информации повлияет на будущую деятельность фирмы. Это может сорвать готовящиеся сделки, лишить фирму ожидаемой прибыли. Цена информации ~500

9. Перспективы развития - утечка информации лишит фирму возможности развития, внедрения новых технологий, использования современных достижений. Цена информации ~500

10. Сведения о банковских вложениях (счетах) 13•2,5•0,8=26

11. Сведения о партнёрах 15•2,5•0,8=30

Для представления информации в виде таблицы необходимо определиться с рядом условий. Во-первых, обозначим гриф и цену элементов исходя из принятой шкалы классификации конфиденциальной информации. К конфиденциальной информации относятся:

- структура организации;

- сведения о клиентах фирмы;

- сведения о деятельности фирмы;

- сведения о системе безопасности фирмы;

- служебная информация о финансовом положении фирмы;

- переговоры с клиентами.

Каждому элементу присвоим гриф (метку) секретности и рассчитаем ее стоимость. В связи с коммерческой деятельностью организации для документации будем использовать гриф «Коммерческая тайна». Статья 3 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне»:

«Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду». Для детальной классификации конфиденциальной информации используются следующие метки секретности:

- СК (строго конфиденциально);

- К (конфиденциально);

- ДВП (для внутреннего пользования).

Для определения цены элемента информации будем использовать метод экспертных оценок. Этот метод может осуществляться, если известен ущерб, который будет причинен фирме в случае утечки этой информации. При этом вид и объем информации не влияют на эту цену (цена информации Z выражается в условной стоимости единицы информации).

Во-вторых, необходимо указать наименование источника (фамилия человека, название документа или его номер по книге учета, наименование и номер изделия и т.д.) и места размещения или хранения (возможные рабочие места людей-источников информации, места расположения, размещения или хранения других носителей).

Знание места расположения источника информации позволяет смоделировать условия обеспечения защищаемой информации, зависящей от степени важности информации и от условий ее использования в рамках существующей организации.

Описание источников информации включает описание пространственного расположения источников информации и условий, влияющих на надежность содержащейся в источниках информации.

Таблица 2.3 - Структурная модель объекта защиты.

№	Наименование элемента информации	Гриф конфиденциальности информации	Цена информации, руб.	Наименование источника информации	Место нахождения источника информации
1.1	Структура организации	ДВП	7150	бумажные документы	Кабинет директора
				электронные документы	Серверная
1.2	Методы управления	К	48000	бумажные документы	Кабинет директора
1.3	Программа исследований	К	461400	бумажные документы	Планово-экономический отдел
				электронные документы	Серверная
1.4	Сведения безопасности	К	34500	бумажные документы	Информационный отдел
1.5	Финансы	СК	258400	бумажные документы	Кабинет директора
				электронные документы	Серверная
2.1	База данных сотрудников	К	418800	бумажные документы	Кабинет директора
				электронные документы	Серверная
2.2	Должностные инструкции	ДВП	3000	электронные документы	Кабинет директора
2.3	Соглашения и переговоры с сотрудниками	К	112500	бумажные документы	Кабинет директора
2.4	Внутренний распорядок для сотрудников	К	7500	электронные документы	Планово-экономичес-кий отдел
3.1	Проводимые экспертизы	ОВ	1525000	электронные документы	Отдел обработки результатов
3.2	Результаты (в т.ч. архивные)	ОВ	3265000	бумажные документы	Отдел обработки результатов
				электронные документы	Архив
3.3	Сведения о конкурентах	К	496800	электронные документы	Информационный отдел
3.4	Базы данных заказчиков	СК	4032000	электронные документы	Серверная
3.5	Соглашения и переговоры с заказчиками	ОВ	440000	бумажные документы	Архив

2.2 Разработка модели объекта защиты

Помимо структурирования информации организации необходимо разработать модель объекта защиты. Моделирование производиться на основе месторасположения источников конфиденциальной информации - планов помещений, этажей зданий, территории в целом. Оно организуется с помощью пространственной модели. Пространственная модель представляет подробное описание помещения, инженерных конструкций, коммуникаций и средств связи, характеристику и основные параметры электронных устройств находящихся в этом помещении, а также технических средств безопасности.

На плане помещений указывается размещение ограждений, помещений, окон, мест расположения источников информации, батарей отопления, силовые и телефонные кабели, элементы интерьера, а также места размещения и зоны действия технических средств охраны и телевизионного наблюдения (ТЧ1, ТЧ3,ТЧ4).

Так же на плане указаны двери, окна, расположение рабочих мест, персональных компьютеров, телефонов, шкафов и сейфов, шредеров, а также показана телефонная, сетевая, противопожарная проводка.

Информация по описанию объекта защиты структурирована в виде таблицы 2.4.

Таблица 2.4 - Описание объекта защиты.

№	Название помещения	Организация "Гарант"
1	Этаж	1	Площадь, м2	211,7
2	Количество окон, тип сигнализации, наличие штор на окнах	16, датчики разбития стекла и железные решетки.	Куда выходят окна	На улицу
3	Двери, количество, одинарные, двойные	Наружние: 1 двойная, 1 эвакуационный выход; межкомнатные: 22, 2 двойные
4	Соседние помещения, толщина стен	Соседних помещений нет, наружная стена -0,40 м, перекрытия - 0,20 м
5	Помещение над потолком, название, толщина	Отсутствует
6	Помещение под полом, название, толщина перекрытий	Отсутствует
7	Вентиляционные отверстия, места размещения, размеры отверстий	Механическая вентиляция: серверная, лаборатории, зал презентаций, туалеты, буфет, 20х17
8	Батареи отопления, типы, куда выходят	25 алюминиевых батарей отопления, размер секции (ВxДxГ, мм): 150x940x100
9	Цепи электропитания	Цепь электропитания фирмы подключена к городской сети: напряжение 220 В, частота 50 Гц. К цепи электропитания подключены все кабинеты и помещения. В помещениях находится 30 розеток.
10	Телефон	IP - телефония с выходом на ГТС. 13 sip-телефонов KX-TGP500 - SIP-DECT Panasonic, 1 sip -шлюз и проводной телефон Panasonic KX-TS2358
11	Радиотрансляция	Отсутствует
12	Электрические часы	Отсутствует
13	Бытовые радиосредства	Отсутствуют
14	Бытовые электроприборы	1 СВЧ-печь, 1 кофеварка, 1 электроплита
15	ПЭВМ	15 ПЭВМ: 15 персональных компьютера, 1 сервер. Все компьютеры объединены в локальную сеть, часть имеет VPN - доступ и выход в интернет
16	Технические средства охраны	ИК-датчики в коридорах, RFID-ключ на служебном входе, камеры видеонаблюдения на входе в здание, заземления технических средств, скремблер защиты сетей связи «SCR»
17	Средства наблюдения	Пост охраны, система видеонаблюдения по периметру здания и на проходной
18	Пожарная сигнализация	57 датчика дыма BRENNENSTUHL BR 5232, саморазбрызгивающие огнетушители МПП Буран-15 КД
19	Видеокамеры	9 видеокамеры PP-2010L 2.8-12 цветная, купольная, 650ТВЛ, 0.001Лк, 2.8-12мм, 12В



3. Моделирование угроз безопасности проникновения

Основой управления информационной безопасностью предприятия является анализ рисков. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам. Моделирование угроз безопасности предусматривает анализ способов хищения, изменения и уничтожения с целью оценки наносимого этим ущерба. Действия злоумышленника по добыванию информации и материальных ценностей определяется поставленными целями и задачами, мотивацией, квалификацией, технической оснащенностью.

Учитывая различные варианты угроз и утечки информации, моделирование состоит из 2 этапов:

1. Моделирование угроз физического проникновения.

2. Моделирование технических каналов утечки информации.

3.1 Моделирование угроз физического проникновения

Способ физического проникновения предполагает выбор конкретного пути преодоления злоумышленником преград для доступа к защищаемым элементам информации.

Действия злоумышленника по добыванию информации определяются поставленными целями и задачами, квалификацией, технической оснащенностью и др.

Прогнозирование источников информации является одним из основных условий ее эффективной защиты. При достаточно высокой точности прогноза создается возможность предотвратить вторжение или создать запас времени для предотвращения угроз не только методами защиты источников информации, но и воздействием на источник угроз.

Для создания модели угрозы физического проникновения рассмотрим следующие аспекты:

- Пути проникновения злоумышленника

- Оценка реальности канала;

- Величина угрозы;

- Ранг угрозы.

Маршруты движения обозначаются на соответствующих планах модели объектов охраны. Так как моделирование основывается на случайных событиях, то целесообразно наметить несколько вариантов проникновения.

Основные элементы путей проникновения: естественные (ворота, двери КПП), вспомогательные (окна, люки, коммуникационные каналы, туннели, пожарные лестницы) и специально создаваемые (проломы, подкопы, лазы).

Оценка реальности канала будет проводиться исходя из следующей классификации:

1.Q = 0,1 - для маловероятных путей;

2.Q = 0,5 - для вероятных путей;

3.Q = 0,9 - для наиболее вероятных путей.

Величина угрозы находится по формуле (1):

I=Q • S_i,(1),

где Q - оценка реальности пути;S_i - цена информации i-ого элемента.

Для формализации оценки угрозы целесообразно ввести ранжирование величины угрозы по ее интервалам, сопоставляемым с рангами для того, чтобы каждому рангу угрозы информации сопоставить соответствующий диапазон величин угроз.

Определим диапазон значений величин угроз от 1 до D_max =800000;

- вводится в рассмотрение 6 рангов;

- устанавливается наивысший по значимости ранг R₁ =1 для угроз, имеющих значительные величины;

- определяется линейный интервал ранга

- соответствие рангов угроз и интервалов величин угроз определяется следующими формулами:

-

;

;

.

Пусть максимальная величина угрозы D_max = 800000, тогда d = 134000. Определяем ранги и интервалы значений угроз. Полученная система рангов представлена в таблице 3.1.

Таблица 3.1 - Система рангов

Интервал величины угрозы	Ранг угрозы Ri
500000 - 10000000	1
100000 - 499000	2
50000 - 99000	3
10000 - 49000	4
5000 - 9900	5
1 - 4900	6

Таблица 3.2 - Оценка наиболее реального пути проникновения

Цель, № каб.	Путь проникновения	Оценка реал-ти пути	Наиболее вероятные пути
1	О2-Д2-Д1, О3-Д2-Д1	0,5	О2-Д2-Д1, О3-Д2-Д1 Д21-Д22-Д17-Д3-Д2-Д1 Д24-Д11-Д3-Д2-Д1 О15-Д19-Д3-Д2-Д1 О16-Д19-Д3-Д2-Д1
	О4-Д4-Д2-Д1, О5-Д4-Д2-Д1	0,1
	Д21-Д22-Д17-Д3-Д2-Д1	0,5
	Д21-Д22-Д14-Д15-Д16-Д3-Д2-Д1	0,1
	Д24-Д11-Д3-Д2-Д1	0,5
	О15-Д19-Д3-Д2-Д1, О16-Д19-Д3-Д2-Д1	0,5
	Через окно лабораторий-Д3-Д2-Д1	0,1
2	О2-Д2, О3-Д2	0,5	О2-Д2, О3-Д2, Д21-Д22-Д17-Д3-Д2 Д24-Д11-Д3-Д2 О15-Д19-Д3-Д2 О16-Д19-Д3-Д2
	О4-Д4-Д2, О5-Д4-Д2	0,1
	Д21-Д22-Д17-Д3-Д2	0,5
	Д21-Д22-Д14-Д15-Д16-Д3-Д2	0,1
	Д24-Д11-Д3-Д2	0,5
	О15-Д19-Д3-Д2, О16-Д19-Д3-Д2	0,5
	Через окно лабораторий-Д3-Д2	0,1
3	О2, О3	0,5	О2, О3 Д21-Д22-Д17-Д3 Д24-Д11-Д3 О15-Д19-Д3 О16-Д19-Д3
	О4-Д4, О5-Д4	0,1
	Д21-Д22-Д17-Д3	0,5
	Д21-Д22-Д14-Д15-Д16-Д3	0,1
	Д24-Д11-Д3	0,5
	О15-Д19-Д3-Д2, О16-Д19-Д3	0,5
	Через окно лабораторий-Д3	0,1
4	О4, О5	0,5	О4, О5 Д21-Д22-Д17-Д3-Д4 Д24-Д11-Д3-Д4 О15-Д19-Д3-Д4 О16-Д19-Д3-Д4
	О2-Д4, О3-Д4	0,1
	Д21-Д22-Д17-Д3-Д4	0,5
	Д21-Д22-Д14-Д15-Д16-Д3-Д4	0,1
	Д24-Д11-Д3-Д4	0,5
	О15-Д19-Д3-Д4, О16-Д19-Д3-Д4	0,5
	Через окно лабораторий-Д3-Д4	0,1
5	О6	0,5	О6 Д21-Д22-Д17-Д5 Д24-Д11-Д5 О15-Д19-Д5 О16-Д19-Д5
	Д21-Д22-Д17-Д5	0,5
	Д21-Д22-Д14-Д15-Д16-Д5	0,1
	Д24-Д11-Д5	0,5
	О15-Д19-Д5, О16-Д19-Д5	0,5
	Через окно лабораторий-Д5	0,1
8	Д21-Д22-Д14-Д15-Д16-Д8	0,1	Д21-Д22-Д17-Д8 Д24-Д11-Д8 О15-Д19-Д8 О16-Д19-Д8
	Д21-Д22-Д17-Д8	0,5
	Д24-Д11-Д8	0,5
	О15-Д19-Д8, О16-Д19-Д8	0,5
	Через окно лабораторий-Д8	0,1

Таблица 3.3 - Оценка ранга угрозы и реальности пути злоумышленника

Наименование элемента информации	Цена инф., руб.	Цель, № каб.	Оценка реальности пути	Величина угрозы, руб.	Ранг угрозы
Структура организации	1750	4	0,5	875	6
	5400	1	0,5	2700	6
Методы управления	48000	4	0,5	24000	4
Программа исследований	51000	3	0,5	25500	4
	410400	1	0,5	205200	2
Сведения безопасности	34500	2	0,5	17250	4
Финансы	28000	4	0,5	14000	4
	230400	1	0,5	115200	2
База данных сотрудников	30000	4	0,5	15000	4
	388800	1	0,5	194400	2
Должностные инструкции	3000	4	0,5	1500	6
Соглашения и переговоры с сотрудниками	112500	4	0,5	56250	3
Внутренний распорядок для сотрудников	7500	3	0,5	3750	6
Проводимые экспертизы	152500	5	0,5	76250	3
Результаты (в т.ч. архивные)	25000	5	0,5	12500	4
	3240000	8	0,5	1620000	1
Сведения о конкурентах	496800	2	0,5	248400	2
Базы данных заказчиков	4032000	1	0,5	2046000	1
Соглашения и переговоры с заказчиками	440000	8	0,5	220000	2

Самыми уязвимыми являются кабинет №1 - Серверная, и кабинет №8 - Архив.

Таблица 3.4 -Предложения по улучшению защиты элементов информации

№	Ранг угрозы	Предложения по улучшению защиты
1	6	Установка на окна решеток
2	5	Установка на окна решеток и замена дверей на металлические
3	4
4	3	Установка на окна решеток, замена дверей на металлические, установка RFID-замков на двери в служебную часть здания (Д16, Д17 и Д24)
5	2
6	1	Установка сейфа с кодом защиты

3.2 Моделирование технических каналов утечки информации

Под техническим каналом утечки информации (ТКУИ) понимают совокупность объекта разведки, технического средства разведки (ТСР), с помощью которого добывается информация об этом объекте, и физической среды, в которой распространяется информационный сигнал. По сути, под ТКУИ понимают способ получения с помощью ТСР разведывательной информации об объекте. Причем под разведывательной информацией обычно понимаются сведения или совокупность данных об объектах разведки независимо от формы их представления.

Создание модели технических каналов утечки предполагает выявление и структурирование всех угроз безопасности защищаемой информации, возникающих при применении злоумышленником различных технических средств съема информации, с целью определения наиболее вероятных путей утечки и прогнозирования значений ущерба при различных сценариях развития информационных угроз.

Необходимо рассмотреть такие каналы утечки информации такие как: виброакустический и материально-вещественный.

Стены, пол, потолок, стекла (ограждающие конструкции помещений) являются приемником и передатчиком акустической информации. Этим свойством обладают и другие элементы помещений: трубы и батареи центрального отопления, канализации, короба воздуховодов и т.д..

Защита от утечки акустической информации за счет виброакустических каналов в основном осуществляется с помощью вибрационных излучателей. Они устанавливаются на защищаемые строительные конструкции и подключаются к генераторам виброакустического шума. Таким образом, в ограждающих конструкциях создается помеха, заведомо превышающая наведенный акустический сигнал полезной информации. В воздуховодах, вентиляционных отверстиях, скрытых полостях, в том числе за подвесными потолками и фальшстенами, устанавливаются акустические излучатели, препятствующие снятию информации при помощи микрофонов. Современные генераторы виброакустической защиты позволяют подключать одновременно к одному прибору несколько вибрационных и акустических излучателей. Таким образом, одного генератора хватает на перекрытие всех виброакустических каналов утечки информации из одного среднего размера помещения.

Следует отметить, что если на этапе проектирования и строительства здания (офиса) были нарушены нормы по звукоизоляции, то в этом случае иногда ничего невозможно сделать без существенных строительных работ.

Самостоятельные попытки защитить помещение от прослушивания включением музыки хоть имеют некоторый эффект есть, но существенного влияния эта мера не оказывает, т.к. уровень звука все равно устанавливают таким, чтобы собеседники могли свободно разговаривать, а этого недостаточно.

Рассмотрим утечки по виброакустическому каналу в выделенном здании.

Благодаря конструктивным и функциональным особенностям наиболее уязвимых помещений утечки по данному каналу практически невозможны.

· Серверная. Постоянный шум работы сервера создает помехи для снятия информации, а отсутствие разговоров, содержащих коммерческую тайну, внутри помещения делают нецелесообразным использование данного канала для снятия какой либо информации.

· Архив. Отсутствие окон и разговоров внутри помещения не дают возможности воспользоваться данным каналом для снятия информации.

Информация по виброакустическому каналу в данных помещениях отсутствует либо не имеет особой ценности.

Для остальных кабинетов возможные меры защиты это:

· Отделка звукопоглощающими материалами (подвесные потолки, звукоизолирующие плиты в стенах и т.д.)

· Уплотнение швов и стыков в окнах и дверях

· Заполнение звукопоглощающими материалами полостей в дверях

· Установка виброгенераторов на окна, коммуникации помещения или генераторов шума в помещение

Источниками и носителями информации в материально-вещественном канале являются субъекты (люди) и материальные объекты (макро и микрочастицы), которые имеют четкие пространственные границы локализации, за исключением излучений радиоактивных веществ. Утечка информации в этих каналах сопровождается физическим перемещением людей и материальных тел с информацией за пределами контролируемой зоны.

Защита материально-вещественного канала заключается в следующем: установка в помещениях сейфов для хранения ценных бумаг и документов, установка шредеров для уничтожения черновых документов, установка камер на входах, разграничение доступа в помещения, а так же в случае необходимости проверка охраной на входе подозрительных личностей.



4. Построение модели защищенного помещения для презентаций

Для того, чтобы рассмотреть полный спектр технических каналов утечки защищаемой информации, необходимо рассмотреть функционирование всех технических средств обработки информации, устройства, документацию, являющиеся источниками защищаемой информации, линии передачи конфиденциальной информации. Также необходимо проанализировать и работу вспомогательных технических систем - распределительных и коммутационных устройств, систем электропитания, заземления, технических средств открытой телефонной связи, систем охранной и пожарной сигнализации и т. д. Особое внимание необходимо уделять линиям коммуникаций, выходящим за пределы охраняемой территории и возможности получения злоумышленником конфиденциальной информации из разговоров сотрудников, служебных документов и др.

Для осуществления полной защищенности акустической информации при проведении презентации в рассматриваемой организации, необходимо применение в комплексе последующих предложенных рекомендаций.

В предложенной для рассмотрения комнате для проведения презентаций можно выделить следующие каналы утечки информации из помещения: оптический канал утечки информации, материально-вещественный канал утечки информации, виброакустический канал утечки информации, акустический канал утечки информации, электромагнитный канал утечки информации.

4.1 Защита оптического канала от утечки информации

Для защиты оптического канала от утечки информации в выделенном помещении, установим на окна горизонтальные жалюзи. Для защиты помещения от скрытых камер будет использоваться профессиональный сканер радиочастот «Hunter Camera HS-5000A».

Технические характеристики прибора:

- Частота стандарта: 1,2 ГГц, 2,4 ГГц, 5,8 ГГц

- Диапазон часто сканирования: от 900 до 6040 МГц

- Монитор цветной: 5 дюймов

- Разъем USB для работы с компьютера

- Аккумулятор: 3,7В; 5200 мА/ч

- Время автономной работы: до 3 часов

- Поддержка карты памяти: microSD до 8Гб

- Время записи на 8Гб: до 2-х часов

- Разрешение видеозаписи: 720х576 ТВЛ

4.2 Защита материально вещественного канала от утечки информации

Для защиты материально вещественного канала от утечки информации в выделенном помещении, будем использовать:

Уничтожитель бумаги (шредер) New United ET 5 HS (1x2 мм). Технические характеристики прибора:

- Уровень секретности: 6

- Способ резки: перекрестный

- Размер фрагментов (мм): 1x2

- Ширина загрузочного отверстия (мм): 235

- Объем корзины (л): 17

4.3 Защита виброакустического канала от утечки информации

Для защиты виброакустического канала от утечки информации, в выделенном помещении устанавливается генератор виброакустической помехи "Кедр". Адаптивный генератор виброакустической помехи "Кедр" предназначен для защиты выделенных помещений от утечки акустической информации по вибрационному и акустическому каналам. Его принцип действия основан на маскировании речи шумовой помехой, которая создаётся с помощью виброизлучателей. Противодействие прослушиванию заключается в излучении шумовой помехи в элементы строительных конструкций здания. Прибор предотвращает возможность прослушивания переговоров с помощью акустических, вибрационных датчиков, лазерных устройств съёма информации, аппаратуры прослушивания через стены, потолки, перекрытия, окна, воздуховоды, трубы отопления и т. п.

Технические характеристики прибора:

- Полоса частот сигнала защиты: 200 Гц - 15 кГц

- Количество каналов: 3

- Максимальное количество виброизлучателей, подключаемых на 1-й и 2-й канал: 20

- Максимальное количество акустоизлучателей: 4

- Радиус действия одного вибродатчика: 1,5 м

- Количество подключаемых микрофонов: 2

- Минимальное сопротивление акустоизлучателей: 4 Ом

- Потребляемая мощность: не более 20 ВА

- Габаритные размеры: 160 х 220 х 54

4.4 Защита акустического канала от утечки информации

Для защиты акустического канала от утечки информации, в выделенном помещении, будем использовать генератор шума ГШ-1000М. Электромагнитные поля, создаваемые генераторами на расстоянии 1 м, не превышают допустимого уровня на рабочих местах и соответствуют ГОСТ 12.1.006 84 (1999), СаНПиН.

Технические характеристики:

- Диапазон частот - 0,1 - 1000 МГц;

- Потребляемая мощность - 5 Вт;

- Питание - от электросети 220В;

- Габариты - 700х600х35;

- Спектральная мощность на расстоянии 1 метр: 0,1 - 100 МГц - не менее 60 дБ, 100 - 300 МГц - не менее 70 дБ, 300 - 500 МГц - не менее 45 дБ, 500 1000 МГц - не менее 25 дБ.

Применительно к рассматриваемому объекту, необходима звукоизоляция оконных проемов, дверей, а также использование звукоизолирующих покрытий.

Наиболее слабые элементы - окна и двери. Двери обладают существенно меньшими по сравнению с другими ограждающими конструкциями поверхностными плотностями полотен и трудно уплотняемыми зазорами и щелями. Стандартные двери не удовлетворяют требованиям по защите информации в помещениях от прослушивания, поэтому следует применять двери с повышенной звукоизоляцией, путем применения дополнительных уплотняющих прокладок по периметру притвора дверей. Применение уплотняющих прокладок повышает звукоизоляцию дверей на 5-10 дБ. Однако в результате эксплуатации двери, резиновые прокладки изнашиваются, стираются, затвердевают. Эти факторы ведут к нарушению звукоизоляции.

Следовательно, для защиты информации в рассматриваемом объекте, целесообразно применять специально разработанные звукоизолирующие двери, либо двойные двери с тамбуром. При этом, целесообразно применить утяжеленные полотна дверей, обить их материалами со слоями ваты или войлока, использовать дополнительные уплотняющие прокладки, герметирующие валики и так далее. При организации тамбуров дверей, звукоизоляцию повысит уплотнение щелей над полом при отсутствии порогов, а также облицовка внутренних поверхностей тамбура звукопоглощающими покрытиями.

Окна, занимающие по условиям освещенности достаточно большие площади ограждающих конструкций помещений, также как и двери, являются элементом среды распространения потенциальных каналов утечки информации.

Из приведенных данных следует, что звукоизоляция одинарного остекления соизмерима со звукоизоляцией одинарных дверей и недостаточна для надежной защиты информации в помещении. Таким образом, для повышения звукоизоляции рационально использование окон с остеклением в раздельных переплетах с шириной воздушного промежутка более 200 мм или с тройным комбинированным остеклением.

Кроме окон и дверей, утечка акустической информации в рассматриваемом помещении возможна по обогревательным батареям и вентиляции. На вентиляционные отверстия необходимо установить экраны, таким образом, чтобы экран изготовленный, например, из алюминия и обитый внутри пенопластом, был размером на несколько сантиметров больше вентиляционного отверстия и был установлен на расстоянии 10 см от отверстия.

Для предотвращения утечки информации по отопительным системам необходимо использование экранирования батарей. Экраны изготовляются в основном из алюминия и покрываются сверху слоем пенопласта или какого-либо другого изолирующего материала.

Звукоизоляцию в помещении можно повысить, применив звукопоглощающие материалы.

Так как для достижения наибольшей эффективности снижения уровня опасного сигнала площадь акустической отделки помещений должна составлять не менее 60%, то для защиты помещения лучше всего применить для отделки стен и потолка панели из пенопласта (с зазором 3 мм).

Нам необходимо добиться повышенной звукоизоляции помещения. Для этого закроем все поверхности звукопоглощающим материалом. Стены в зале презентаций состоят из железобетонных блоков и имеют толщину 200мм. Поверх звукоизоляционного материала крепятся листы гипсокартона. Наиболее распространенным является гипсокартон Кнауф (KNAUF).

В качестве основной звукопоглощающей поверхности используется пространство потолка, а в качестве звукопоглощающей конструкции - подвесной акустический потолок.

В качестве примера будут использованы потолки Ecophon. Эти потолки имеют неплохие показатели звукопоглощения и подойдут для поставленной задачи. инженерный информация технический

4.5 Защита электромагнитного канала от утечки информации

Для защиты электромагнитного канала утечки информации, в выделенном помещении необходимо установить устройство защиты по сети электропитания МП-3. МП-3 предназначено для исключения утечки информации в сеть питания при воздействии на изделие и пропадании сетевого напряжения. МП-3 может быть использовано для защиты от утечки информации любого изделия, которое потребляет от сети переменного тока напряжением 220 В не более 170 Вт.

Технические характеристики прибора:

- напряжение включения устройства: более 170 В

- напряжение отключения устройства: не менее 30 В

- затухание, вносимое устройством, в сторону сети на частоте 1 кГц при пропадании напряжения сети переменного тока: не менее 80 дБ

- габаритные размеры (без вилки): не более 84 х 58 х 43 мм



Заключение

В рамках данного курсового проекта была разработана система инженерно-технической защиты информации организации «Гарант» в частности помещения «Зал презентаций». Были рассмотрены каналы утечки информации в фирме, такие как виброакустический и материально-вещественный. Разработана модель способов физического проникновения злоумышленников и модель технических каналов утечки информации. Построены схемы объекта защиты, классифицированы и выявлены наиболее опасные и реальные пути несанкционированной утечки информации по техническим каналам.

На основе полученной модели угроз, была разработана модель защиты фирмы, занимающейся медико-биологической экспертизой. Были рассмотрены организационные и технические методы и средства обеспечения информационной безопасности. Спроектированы методы и средства защиты конференц-зала по всем каналам утечки информации. Изучив все возможные угрозы, были разработаны меры по предотвращению хищения информации, спроектирован эскиз здания с инженерно-технический защитой информации, а так же эскиз защищённого зала презентаций с выполненными работами.

В целом, работа над курсовым проектом позволила систематизировать и структурировать ранее полученные знания в области защиты информации. Было доказано, что необходим комплексный подход при реализации систем безопасности и систем защиты информации, в целом.



Список литературы

1. Торокин А.А. Основы инженерно-технической защиты информации. - М.: Изд-во АРВ, 2005

2. А.П. Зайцев. Технические средства и методы защиты информации. Учебное пособие для вузов. - М.: Горячая линия - Телеком, 2012

3. Калуцкий И.В., Федорова А.С. Методические указания для выполнения курсовой работы по инженерно-технической защите информации» [Текст] / И.В. Калуцкий, А.С. Федорова, Изд. ЮЗГУ, 2014. -.46 с.

4. Тихонов В.А., Райх В.В. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты. М.: Гелиос АРВ, 2006

5. Шаньгин В.Ф. Комплексная защита информации в корпоративных системах М: Форум, 2010.

6. Хорев А.А Способы и средства защиты информации. М.: МО РФ, 2000

7. Хорев А. А. Техническая защиты информации: Учебное пособие. - М.: НПЦ «Аналитика», 2008. -436с.



Перечень сокращений

ТКУИ - технические каналы утечки информации

ТСР - технические средства разведки

ВТСС - вспомогательные технические средства и системы

ДВП - для внутреннего пользования

СК - строго конфиденциально

К - конфиденциально

У.Е - условная единица

ПЭВМ - персональный компьютер

О - окно

Д - дверь

Размещено на Allbest.ru

...