Система защиты информации

Размещено на http://www.allbest.ru/

ВВЕДЕНИЕ

Система защиты информации (СЗИ) - это совокупность средств, методов, мероприятий, и персонала, предусматриваемых в составе той или иной информационной системы для решения задач ее защиты. Введением понятия СЗИ постулируется, что все ресурсы, выделяемые для защиты информации, должны объединяться в единую, целостную, функционально самостоятельную систему.

Главной целью комплексной СЗИ является обеспечение непрерывности бизнеса, устойчивой работы предпринимателя и предотвращения угроз предприятия.

Актуальность рассмотрения организации защиты конфиденциальной информации обусловлена тем, что в России и люди, и компании, соответственно, уделяют внимание сохранению и обеспечению конфиденциальности. При этом понимании не всегда хватает знаний и умений в использовании имеющихся технологических и программных средств, то есть понятно, что надо защищать, а как именно нужно применять специальное технологии не все знают или не умеют.

С каждым годом технические возможности злоумышленников возрастают. Соответственно, системы безопасности должны всегда быть в развитии на шаг вперед. Следовательно, необходимо стремиться сразу, строить такую систему безопасности, которая со временем не устареет, и будет иметь возможность при необходимости её модернизировать, «нарастить» до более совершенного уровня. В связи с вышеприведенным, считаю, что тема данной курсовой работы является актуальной.

Система должна сохранять конфиденциальность и целостность данных даже при форс-мажорных обстоятельствах, включая природные катаклизмы, пожары, саботаж, прочие действия потенциальных злоумышленников и другие факторы, так или иначе нарушающие работу системы.

Целью курсовой работы является получение основных навыков в модификации системы безопасности объекта защиты информации.

Для достижения поставленной цели необходимо решить следующие задачи:

ь рассмотреть основные понятия информационной безопасности;

ь изучить технические каналы утечки информации;

ь спроектировать вероятную модель злоумышленника выделенного помещения объекта защиты;

ь разработать проект усовершенствованной системы защиты информации общеобразовательного учреждения на примере выделенного помещения;

ь разработать систему видеонаблюдения объекта защиты;

ь произвести внедрение в эксплуатацию модифицированной системы защиты информации.

Объектом исследования данной курсовой работы является модификация комплексной системы защиты информации выделенного помещения общеобразовательного учреждения, предметом исследования - средства, направленные на обеспечение безопасности общеобразовательного учреждения, носящие правовой, технический и программный характер.

Данная курсовая работа выполнена на сорока семи страницах машинопечатного текста, состоящего из введения, двух глав: теоретической и практической, заключения и списка использованной литературы.



ГЛАВА 1. ИНФОРМАЦИЯ, КАК ОБЪЕКТ ЗАЩИТЫ

1.1 Основные понятия информационной безопасности

Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте. Возвращаясь к вопросам терминологии, можно сказать, что термин «компьютерная безопасность» представляется слишком узким. Компьютеры - только одна из составляющих информационных систем, и, хотя внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в большинстве случаев оказывается человек.

Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал.

Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Иногда недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.

Прежде чем говорить о системе защиты конфиденциальной информации, необходимо определить, что же такое информационная безопасность. Термин «информационная безопасность» может иметь различный смысл и трактовку в зависимости от контекста. Чаще всего под информационной безопасностью понимают защищенность информации и возможные пути проникновения злоумышленника к выделенным объектам, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

ГОСТ «Защита информации. Основные термины и определения» вводит понятие информационной безопасности, как состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность (рис. 1).

Рис. 1. Составляющие защищенности информации

ь конфиденциальность - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;

ь целостность - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;

ь доступность - состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

В российском законодательстве базовым законом в области защиты информации является ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года №149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения.

Закон дает основные определения в области защиты информации, рассмотрим особенно важные из них:

ь информация - сведения (сообщения, данные) независимо от формы их представления;

ь информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

ь информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

ь обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

ь оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных;

ь конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Вся информация делитс яна общедоступную и ограниченного доступа. (рис. 2).

Рис.2. Виды информации

К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. В законе, определяется информация, к которой нельзя ограничить доступ, например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Закон выделяет 4 категории информации в зависимости от порядка ее предоставления или распространения:

ь информацию, свободно распространяемую;

ь информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

ь информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

ь информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Информация ограниченного доступа может подвергаться угрозам. Угрозы информационной безопасности - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником (рис. 3).

Потенциальные злоумышленники называются источниками угрозы.Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Рис. 3. Процесс реализации угрозы информационной безопасности

программный видеонаблюдение информация безопасность

Угрозы можно классифицировать по некоторым критериям:

ь по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;

ь по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

ь по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);

ь по расположению источника угроз (внутри/вне рассматриваемой ИС).

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход. Выделяют4 уровня защиты информации (рис. 4).

Рис. 4. Уровни защиты информации

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность.

Основой мер административного уровня, то есть мер, предпринимаемых руководством организации, является политика безопасности. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности определяет стратегию организации в области информационной безопасности, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным выделить.

Административный уровень -«белое» пятно в отечественной практике информационной безопасности. Нет законов, обязывающих организации иметь политику безопасности. Ни одно из ведомств, курирующих информационную безопасность, не предлагает типовых разработок в данной области.

К процедурному уровню относятся меры безопасности, реализуемые людьми. В отечественных организациях накоплен богатый опыт составления и реализации процедурных (организационных) мер, однако проблема состоит в том, что они пришли из до компьютерного прошлого, и поэтому нуждаются в существенном пересмотре.

Можно выделить следующие группы процедурных мер, направленных на обеспечение информационной безопасности:

ь управление персоналом;

ь физическая защита;

ь поддержание работоспособности;

ь реагирование на нарушения режима безопасности;

ь планирование восстановительных работ.

Большая доля активности в области информационной безопасности приходится на программно-технический уровень. Если иметь в виду зарубежные продукты, здесь существует полный спектр решений. Если ограничиться разработками, имеющими российские сертификаты по требованиям безопасности, картина получается существенно более разреженной.

Согласно современным воззрениям, в рамках информационных систем должны быть доступны, по крайней мере, следующие механизмы безопасности:

ь идентификация и проверка подлинности (аутентификация) пользователей;

ь управление доступом;

ь протоколирование и аудит;

ь криптография;

ь (межсетевое) экранирование;

ь обеспечение высокой доступности.

Кроме того, информационной системой в целом и механизмами безопасности в особенности необходимо управлять. И управление, и механизмы безопасности должны функционировать в разнородной, распределенной среде, построенной, как правило, в архитектуре клиент/сервер. Это означает, что упомянутые средства должны:

ь опираться на общепринятые стандарты;

ь быть устойчивыми к сетевым угрозам;

ь учитывать специфику отдельных сервисов.

Важно знать, что характерной особенностью информации и данных является возможность легко и незаметно искажать, копировать или уничтожать их. Поэтому необходимо организовывать наиболее безопасное функционирование данных и информации в любых информационных системах, то есть обеспечивать их защиту.

1.2 Технические каналы утечки информации, их классификация

Информация передается полем или веществом. Это может быть либо акустическая волна, либо электромагнитное излучение, либо лист бумаги с текстом и т.п. Другими словами, используя те или иные физические поля, человек создает систему передачи информации или систему связи. Система связи в общем случае состоит из передатчика, канала передачи информации, приемника и получателя информации. Легитимная система связи создается и эксплуатируется для правомерного обмена информацией. Однако, ввиду физической природы передачи информации при выполнении определенных условий возможно возникновение системы связи, которая передает информацию вне зависимости от желания отправителя или получателя информации - технический канал утечки информации.

Утечка-бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.

Утечка (информации) по техническому каналу - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Технический канал утечки информации (ТКУИ), так же, как и канал передачи информации, состоит из источника сигнала, физической среды его распространения и приемной аппаратуры злоумышленника (рис. 5).

Рис. 5. Технический канал утечки информации

На вход канала поступает информация в виде первичного сигнала. Первичный сигнал представляет собой носитель с информацией от ее источника или с выхода предыдущего канала. В качестве источника сигнала могут быть:

ь объект наблюдения, отражающий электромагнитные и акустические волны;

ь объект наблюдения, излучающий собственные (тепловые) электромагнитные волны в оптическом и радиодиапазонах;

ь передатчик функционального канала связи;

ь закладное устройство;

ь источник опасного сигнала;

ь источник акустических волн, модулированных информацией.

Так как информация от источника поступает на вход канала на языке источника (в виде буквенно-цифрового текста, символов, знаков, звуков, сигналов и т.д.), то передатчик производит преобразование этой формы представления информации в форму, обеспечивающую запись ее на носитель информации, соответствующий среде распространения. В общем случае он выполняет следующие функции:

ь создает поля или электрический ток, которые переносят информацию;

ь производит запись информации на носитель;

ь усиливает мощность сигнала (носителя с информацией);

ь обеспечивает передачу сигнала в среду распространения в заданном секторе пространства.

Среда распространения носителя - часть пространства, в которой перемещается носитель. Она характеризуется набором физических параметров, определяющих условия перемещения носителя с информацией. Основными параметрами, которые надо учитывать при описании среды распространения, являются:

ь физические препятствия для субъектов и материальных тел:

ь мера ослабления сигнала на единицу длины;

ь частотная характеристика;

ь вид и мощность помех для сигнала.

Приемник выполняет функции, обратные функциям передатчика. Он производит:

ь выбор носителя с нужной получателю информацией;

ь усиление принятого сигнала до значений, обеспечивающих съем информации;

ь съем информации с носителя;

ь преобразование информации в форму сигнала, доступную получателю (человеку, техническому устройству), и усиление сигналов до значений, необходимых для безошибочного их восприятия.

Технические каналы утечки можно классифицировать на 4 большие группы (рис.6).



Рис. 6. Классификация ТКУИ

Основным признаком для классификации технических каналов утечки информации является физическая природа носителя. По этому признаку ТКУИ делятся на:

ь оптические;

ь радиоэлектронные;

ь акустические;

ь материально-вещественные.

В оптическом канале носителем информации является электромагнитное поле (фотоны). Оптический диапазон подразделяется на:

ь дальний инфракрасный под диапазон 100--10 мкм (3--30 ТГц);

ь средний и ближний инфракрасный под диапазон 10--0,76 мкм (30--400 ТГц);

ь видимый диапазон (сине-зелёно-красный) 0,76--0,4 мкм (400--750 ТГц).

В радиоэлектронном канале утечки информации в качестве носителей используются электрические, магнитные и электромагнитные поля в радиодиапазоне, а также электрический ток (поток электронов), распространяющийся по металлическим проводам. Диапазон частот радиоэлектронного канала занимает полосу частот от десятков ГГц до звукового. Он подразделяется на:

ь низкочастотный 1--10 км (30--300 кГц);

ь среднечастотный 1 км--100 м (300 кГц--3МГц);

ь высокочастотный 100--10 м (3--30 МГц);

ь ультравысокочастотный 10--1м (30--300 МГц);

ь и т.д. до сверхвысокочастотного 3--30 ГГц (10--1 см).

Носителями информации в акустическом канале являются упругие акустические волны, распространяющиеся в среде. Здесь различают:

ь инфразвуковой диапазон 1500--75 м (1--20 Гц);

ь нижний звуковой 150--5 м (1--300 Гц);

ь звуковой 5--0,2 м (300--16000 Гц);

ь ультразвуковой от 16000 Гц до 4 МГц.

В материально-вещественном канале утечка информации производится путем несанкционированного распространения за пределы контролируемой зоны вещественных носителей с защищаемой информацией. В качестве вещественных носителей чаще всего выступают черновики документов и использованная копировальная бумага.

Каналы утечки информации можно также классифицировать по информативности на:

ь информативные;

ь малоинформативные;

ь неинформативные.

Информативность канала оценивается ценностью информации, которая передается по каналу.

По времени проявления каналы делятся на:

ь постоянные;

ь эпизодические;

ь случайные.

В постоянном канале утечка информации носит достаточно регулярный характер. К эпизодическим каналам относятся каналы, утечка информации в которых имеет случайный разовый характер.

По структуре каналы утечки информации можно разделить на:

ь одноканальные;

ь составные.

Технический канал утечки информации, состоящий из передатчика, среды распространения и приемника, является простым или одноканальным.

Возможны варианты, когда утечка информации происходит более сложным путем - по нескольким последовательным или параллельным каналам. В этом случае канал можно назвать составным.При этом используется свойство информации переписываться с одного носителя на другой.

Любой электронный элемент при определенных условиях может стать источником образования утечки информации, так же любой канал утечки может быть обнаружен и локализован. В частности, обнаружить канал утечки сложнее, чем локализовать его.



ГЛАВА 2. МОДИФИКАЦИЯ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ БЕЗОПАСНОСТИ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ НА ПРИМЕРЕ ВЫДЕЛЕННОГО ПОМЕЩЕНИЯ

2.1 Вероятная модель нарушителя

Под моделью нарушителя понимается его абстрактное (формализованное или неформализованное) описание.

Неформальнаямодельнарушителяотражаетегопрактическиеитеоретическиевозможности, время и место действия ит.п. Для достижения своих целей нарушитель должен приложить некоторые усилия и затратить определенные ресурсы.

Тип нарушителя характеризует его отношение к защищаемому объекту и его возможности по преодолению системы охраны (таблица 1).

Таблица 1 - Типовые модели нарушителей

Категория отражает социальное положение нарушителя. Условно к категории «специалист» можно отнести людей, профессионально занимающихся данным видом деятельности и имеющих специальную подготовку.

К категории «любитель» относятся наемники или люди, остро нуждающиеся в средствах (например, безработные), обдуманно совершающие противоправные действия.

К категории «дилетант» можно отнести хулиганов, наркоманов, алкоголиков, совершающих проникновение без предварительной подготовки.

В отношении средне-профессионального образовательного учреждения, рассматриваемого в курсовой работе, наибольшую опасность для информационной безопасности учреждения представляют его сотрудники, так как, работая с информацией для служебного пользования, они имеют к ней доступ и поэтому могут нанести большой ущерб. У каждого такого случая есть свои особенности такие как: умысел (специально), корысть (цель получения выгоды)

Наряду с внутренними нарушителями, внешние так же представляют большую угрозу безопасности информации. К внешним нарушителям можно отнести посетителей открытых мероприятий учреждения, уволенных или обиженных сотрудников, ранее имеющих доступ к конфиденциальной информации. Обиженные сотрудники, даже бывшие, знакомы с порядками в общеобразовательном учреждении и способны вредить достаточно эффективно.

Среди путей негласного проникновения нарушителя прежде всего будут естественные проемы в помещениях, такие как двери и окна.

Пути вероятного проникновения злоумышленника приведены в приложении 2.

2.2 Модификация комплексной системы защиты безопасности образовательного учреждения на примере выделенного помещения

Система защиты информации - это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности предприятия.

На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. Для того, чтобы создать в общеобразовательном учреждении условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек.

Создание системы защиты информации (СЗИ) не является главной задачей общеобразовательного учреждения. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе, и ее создание должно быть экономически оправданным. Тем не менее, система зашиты информации должна обеспечивать защиту важных информационных ресурсов учреждения от всех реальных угроз.

При построении любой системы необходимо определить принципы, в соответствии с которыми она будет построена. Комплексная система защиты информации (КСЗИ) - сложная система, функционирующая, как правило, в условиях неопределенности, требующая значительных материальных затрат. Поэтому определение основных принципов КСЗИ позволит определить основные подходы к ее построению:

ь принцип законности заключается в соответствии принимаемых мер законодательству РФ о защите информации, а в случае отсутствия соответствующих законов - другим государственным нормативным документам по защите;

ь в соответствии с принципом полноты защищаемой информации защите подлежит не только информация, составляющая государственную, коммерческую или служебную тайну, но и та часть несекретной информации, утрата которой может нанести ущерб ее собственнику либо владельцу. Реализация этого принципа позволяет обеспечить и охрану интеллектуальной собственности;

ь принцип обоснованности защиты информации заключается в установлении путем экспертной оценки целесообразности засекречивания и защиты той или другой информации, вероятных экономических и других последствий такой защиты исходя из баланса жизненно важных интересов государства, общества и граждан. Это, в свою очередь, позволяет расходовать средства на защиту только той информации, утрата или утечка которой может нанести действительный ущерб ее владельцу;

ь принцип создания специализированных подразделений по защите информации заключается в том, что такие подразделения являются непременным условием организации комплексной защиты, поскольку только специализированные службы способны должным образом разрабатывать и внедрять защитные мероприятия и осуществлять контроль за их выполнением;

ь принцип участия в защите информации всех соприкасающихся с нею лиц исходит из того, что защита информации является служебной обязанностью каждого лица, имеющего по роду выполняемой работы отношение к защищаемой информации, и такое участие дает возможность повысить качество защиты;

ь принцип персональной ответственности за защиту информации требует, чтобы каждое лицо персонально отвечало за сохранность и неразглашение вверенной ему защищаемой информации, а за утрату или распространение такой информации оно несет уголовную, административную или иную ответственность;

ь принцип наличия и использования всех необходимых сил и средств заключается в том, что КСЗИ требует, во-первых, участия в ней руководства предприятия и специальной службы защиты информации; во-вторых, использования различных организационных форм и методов защиты; в-третьих, наличия необходимых материально-технических ресурсов, включая технические средства защиты;

ь принцип превентивности предполагает заблаговременное принятие мер по защите информации. Из этого принципа вытекает, в частности, необходимость разработки защищенных информационных технологий.

Принято выделять три основных направления защиты информации:

ь правовая защита;

ь организационная защита;

ь инженерно-техническая защита

Организационно-правовая защита информации

Правовая защита - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе.

В рассматриваемом выделенном помещении - бухгалтерии- общеобразовательного учреждения правовая защита информации отсутствует.

Для построения правовых методов защиты информации выделенного помещения общеобразовательного учреждения, рассматриваемого в курсовой работе, следует опираться на государственные правовые акты, а также разработать собственные нормативно-правовые документы, учитывая ведомственные интересы данного предприятия.

В эти документы предлагаю включить:

ь положение о сохранении конфиденциальной информации;

ь перечень сведений, составляющих конфиденциальную информацию;

ь инструкция о порядке допуска сотрудников бухгалтерии к сведениям, составляющим конфиденциальную информацию;

ь положение о специальном делопроизводстве и документообороте;

ь обязательство сотрудников бухгалтерии о сохранении конфиденциальной информации;

Достоинство правовых мер в том, что эти меры определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение, недостаток - меры являются универсальными в том смысле, что принципиально применимы для всех каналов проникновения и несанкционированного доступа (НСД) к автоматизированным системам (АС) и информации. В некоторых случаях они являются единственно применимыми, как, например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией.

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба исполнителям.

В документ об организационной защите выделенного помещения общеобразовательного учреждения (бухгалтерии) я предлагаю включить следующие пункты:

ь организация работы с персоналом бухгалтерии;

ь организация внутри объектового и пропускного режимов и охраны;

ь организация работы с носителями сведений бухгалтерии;

ь комплексное планирование мероприятий по защите информации;

ь организация аналитической работы и контроля работников бухгалтерии.

Обязательства каждого отдельного сотрудника бухгалтерии в части защиты информации должны быть оговорены в трудовом договоре.

Инженерно-техническая защита информации

Инженерно-техническая защита - это использование различных технических средств, препятствующих нанесению ущерба коммерческой деятельности.

По функциональному назначению средства инженерно-технической защиты делятся на следующие группы:

ь физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий. К физическим средствам относятся механические, электромеханические электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещение несанкционированного доступа (входа выхода) проноса (выноса) средств и материалов, и других возможных видов преступных действий;

ь аппаратные средства. В них входят приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. В практике деятельности предприятия находит широкое применение самая различная аппаратура, начиная с телефонного аппарата до совершенных автоматизированных систем, обеспечивающих производственную деятельность. Основная задача аппаратных средств - обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства обеспечения производственной деятельности;

ь программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и передачи) данных;

ь криптографические средства - это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

Рассмотрим существующую инженерно-техническую защиту выделенного помещения.

Инженерно-техническая защита выделенного помещения включает в себя:

ь 1 деревянная дверь;

ь 2 окна с классом защиты: В1 (класс защиты В1 выдерживает 30--50 ударов по окну);

ь фильтр питания «ФСП-1Ф-7А»;

ь модуль защиты телефонной линии SEL.

На мой взгляд, это является недостаточным для защиты выделенного помещения, поэтому я предлагаю:

1. Внедрить в практику использования в выделенном помещении:

ь датчик разбитого стекла;

ь датчик движения;

ь генератор шума;

ь охранно-пожарную сигнализацию (извещатель пожарный ручной; извещатель пожарный дымовой; извещатель светозвуковой; огнетушитель, аптечка);

ь систему видеонаблюдения.

2. Заменить:

ь деревянную дверь.

Датчик разбитого стекла - предназначен для контроля разбития окон и стёкол в помещении и передачи тревожного сигнала на систему сигнализации.

Для выбора конкретной модели датчика разбитого стекла, я предлагаю провести сравнительный анализ датчиков Стекло-Ex и БОЛИД С2000-СТ.

Сравнительный анализ датчиков разбитого стекла приведен в таблице 2.

Таблица 2 - Сравнительный анализ датчиков разбитого стекла

Название датчика разбитого стекла Характеристики	Стекло-Ex	БОЛИД С2000-СТ
Максимальная дальность действия	Не менее 6 м	6 м
Напряжение питания	12 В	От 8 до 15 В
Ток потребления	Не более 30 мА	Не более 2,5 мА
Рабочие температуры	-20…+45° С	-10…+45° С
Масса	0,8 кг	Не более 0,1 кг
Габаритные размеры	80 х 80 х 31 мм	75 х 65 х 25 мм
Цена	615 руб.	690 руб.



Для использования в выделенном помещении предлагаю приобрести датчик разбитого стекла БОЛИД С2000-СТ, так как он требует меньших затрат энергии с небольшой разницей по цене.

Датчик движения - датчик, обнаруживающий перемещение каких-либо объектов. В быту чаще всего под этим термином подразумевается электронный инфракрасный датчик, обнаруживающий присутствие и перемещение человека, и коммутирующий питание электроприборов (чаще всего освещения).

Для выбора конкретной модели датчика движения, я предлагаю провести сравнительный анализ датчиков IS 2180-5 BLK и ИК IS 130-2 WHT.

Сравнительный анализ датчиков движения приведен в таблице 3.

Таблица 3 - Сравнительный анализ датчиков движения

Название датчика движения Характеристики	Настенный датчик IS 2180-5BLK	Датчик движения ИК IS 130-2 WHT
Напряжение питания	230--240 В, 50 Гц	230--240 В, 50 Гц
Угол охвата	180° по горизонтали, 90° по вертикали	130° с защитой от подкрадывания
Высота установки	0.8--1.2 м	2.0--2.7 м
Диапазон рабочих температур	-35…+50° С	-10…+60° С
Цена	5 311руб.	2773 руб.

В выделенном помещении эффективнее всего использовать датчик движения IS 2180-5 BLK, так как у данного датчика угол охвата больше, чем ИК IS 130-2 WHT, несмотря на то, что второй выгоднее первого по цене.

Генератор шума представляет собой устройство для подачи шумовых волн на телефонной линии, используется для сохранения конфиденциальной информации при передаче информации по линиям связи.

Чтобы подобрать генератор шума для выделенного помещения общеобразовательного учреждения, предлагаю провести сравнительную характеристику генераторов шума. Сравнительная характеристика генераторов «ГШ-100М», «Гном-3» и «Гном-3М» приведена в таблице 4.

Таблица 4 - Сравнительная характеристика генераторов шума

Название ГШ Характеристики	ГШ-1000М	Гном-3	Гном-3М
Диапазон рабочих частот	0,1--1000 МГц	0,01--1000 МГц	0,15--1000 КГц
Потребляемая мощность	не более 5 В	-	-
Масса	не более 0,25 кг.	1,8 кг.	3 кг.
Габаритные размеры	-	307 х 95 х 48,5	300 х 192 х 50
Цена	6 400 руб.	19 500 руб.	28 200 руб.

Целесообразным будет выбор генератора шума наименее дорогого, так как главное отличие генератора «ГШ-100М» и «Гном-3» в цене и массе устройства, а диапазон рабочих частот одинаков.

Система пожарной сигнализации - совокупность установок пожарной сигнализации, смонтированных на одном объекте и контролируемых с общего пожарного поста.

Установки и системы пожарной сигнализации, оповещения и управления эвакуацией людей при пожаре должны обеспечивать автоматическое обнаружение пожара за время, необходимое для включения систем оповещения о пожаре в целях организации безопасной (с учетом допустимого пожарного риска) эвакуации людей в условиях конкретного объекта.

Системы пожарной сигнализации, оповещения и управления эвакуацией людей при пожаре должны быть установлены на объектах, где воздействие опасных факторов пожара может привести к травматизму и (или) гибели людей.

В состав ОПС рассматриваемого выделенного помещения предлагаю включить:

ь извещатель пожарный ручной;

ь извещатель пожарный дымовой;

ь извещатель светозвуковой;

ь огнетушитель;

ь аптечка.

Извещатель пожарный ручной предназначен для ручного включения сигнала тревоги в системах пожарной и охранно-пожарной сигнализации.

В выделенном помещении предлагаю использовать стандартный ручной пожарный извещатель «ИПР-55».

Извещатель пожарный ручной «ИПР-55» представляет собой электронное устройство, предназначенное для ручного включения сигнала тревоги в системах пожарной и охранно-пожарной сигнализации. «ИПР-55» рассчитан на непрерывный круглосуточный режим работы. Диапазон рабочих температур окружающей среды - от минус 40°С до плюс 50°С.

Особенности «ИПР-55»:

ь напряжение: 18--24 В;

ь потребление тока в дежурном режиме: 0.35 мА;

ь потребление тока в режиме тревога: 18 мА;

ь рабочая температура: -40…+50°с;

ь габариты: 105х65х33 мм;

ь масса: 0.095 кг;

ь цена: 230 р.

Извещатель пожарный дымовой -устройство для формирования сигнала о пожаре.

В выделенном помещении предлагаю использовать Извещатель пожарный дымовой ИРСЭТ 212-3СМ-И.

Современный дымовой микропроцессорный оптико-электронный извещатель с улучшенными характеристиками.

Извещатель предназначен для круглосуточной и непрерывной работы в помещениях с регулируемыми и нерегулируемыми климатическими условиями. Извещатель имеет встроенную оптическую индикацию - светодиод красного свечения (дежурный режим - прерывистое свечение, срабатывание - постоянное).

Особенности ИРСЭТ 212-3СМ-И:

ь чувствительность: 0,05--0,2 дБ/м;

ь масса: не более 0,2 кг;

ь напряжение питания: 9--28 В;

ь диапазон рабочих температур: -30…+55°С;

ь ток потребления в дежурном режиме: 18--25 мА;

ь средний срок службы: не менее 10 лет.

Извещатель светозвуковой - световое и звуковое оповещение о состоянии объекта, охраняемого с помощью приборов охранно-пожарной сигнализации.

В выделенном помещении предлагаю использовать светозвуковой ИзвещательМАЯК-12-КП.

Особенности МАЯК-12-КП:

ь непрерывный круглосуточный режим работы;

ь малогабаритный корпус;

ь напряжение питания: 12 В;

ь прозрачный корпус красного цвета;

ь светодиоды высокой яркости.

Огнетушитель - переносное или передвижное устройство для тушения очагов пожара за счет выпуска запасенного огнетушащего вещества.

Ручной огнетушитель обычно представляет собой цилиндрический баллон с соплом или трубкой. При введении огнетушителя в действие из его сопла под большим давлением начинает выходить вещество, способное потушить огонь. Таким веществом может быть пена, вода, какое-либо химическое соединение в виде порошка, а также диоксид углерода, азот и другие химически инертные газы.

В выделенном помещении предлагаю использовать углекислотный огнетушительОУ-3, подходящий для тушения: архивов, офисов, музеев и более опасных возгораний.

Особенности огнетушителя порошкового ОУ-3:

ь объем: 4,3 л;

ь продолжительность подачи: 8 сек;

ь длина струи огнетушащего вещества: 3,0 м;

ь масса: 11 кг.

Аптечка предназначена для оказания первой помощи детям младшего возраста или находящихся в общеобразовательных учреждениях до прибытия врача.

Аптечки первой помощи по распоряжению Правительства Москвы №1292 РПот 29.12.2000г. Рассчитаны на оказание первой помощи при чрезвычайныхситуациях природного и техногенного характера. Рассчитанная для оказания помощи на 100 человек.

В состав аптечки входит:

ь бинт марлевый стерильный;

ь бинт эластичный трубчатый;

ь валидол таб;

ь вата гигроскопическая нестерильная;

ь жгут кровоостанавливающий;

ь ибупрофен таб.№10 (анальгин);

ь йода р-р 5%;

ь лейкопластырь в рулоне;

ь нитроглицерин капсулы;

ь ножницы;

ь олазоль;

ь пакет;

ь перекиси водорода р-р 3%;

ь перчатки латексные (пара);

ь салфетка антимикробная №1;

ь салфетка кровоостанавливающая №3;

ь салфетка марлевая стерильная;

ь салфетка с прополисом и фурагином;

ь салфетка спиртовая;

ь стаканчик мерный для приёма лекарств;

ь сульфацил натрия, флакон;

ь термометр;

ь устройство для проведения искусственного дыхания.

План охранно-пожарной сигнализации, а также план размещения оборудования для защиты выделенного помещения приведены в приложении 3 и 4.

Помимо внедрения ОПС в выделенное помещение, для наилучшей защиты конфиденциальной информации, предлагаю заменить уже присутствующую деревянную дверь на металлическую, так как металлическую дверь намного сложнее преодолеть, по сравнению с деревянной дверью.

Металлическая дверь является неотъемлемой частью физической защиты выделенного помещения.

Рассмотрим несколько классов физической защиты дверей:

ь 1 класс

К данному классу дверей относятся ненадежные и дешевые двери, как раз установленная в выделенном помещении общеобразовательного учреждения.Такие двери не могут нужным образом защитить помещение и их легко взломать простейшими инструментами, например, монтировка.

ь 2 класс

К дверям второго класса относятся двери с повышенной надежностью, такие двери подойдут для: жилых помещений; офисов; КПП и охранных пунктов.

Такие двери не просто взломать с помощью монтировки или других подручных средств, из-за повышенного уровня устойчивости необходимо использовать специальные инструменты.

ь 3 класс

Двери данного класса отличаются наиболее серьезным уровнем устойчивости к взлому. Для взлома таких дверей понадобится большое количество времени или специальные электрические инструменты.

В настоящее время двери третьего класса используются для защиты большинства помещений, приобретая их в специализированных магазинах.

На вход в выделенное помещение общеобразовательного учреждения (бухгалтерия) рекомендую поставить дверь второго или третьего класса защиты, так как двери первого класса являются ненадежными и неустойчивыми к взлому.

Программная защита информации.

Программные средства защиты информации - это система специальных программ, реализующая функции защиты информации и конфиденциальности.

Так как в информационной системе помещения (бухгалтерии) хранится не столь значительное количество информации, предполагаю, что для защиты информационных сетей достаточно мощной антивирусной программы.

Для подбора антивирусной программы, устанавливаемой на ПК, предлагаю провести сравнительный анализ программ «Антивирус Касперского», «Антивирус ESETNOD32 SmartSecurity» и «АнтивирусDR.Web» в таблице 5.

Таблица 5. Сравнительный анализ антивирусных программ

Название антивирусной программы Характеристики	Антивирус KASPERSKY Internet Security	Антивирус ESET NOD32 Smart Security	Антивирус DR.Web
Лечение компьютера	Отлично	Отлично	Отлично
Быстродействие	Плохо	Отлично	Нормально
Самозащита	Отлично	Нормально	Отлично
Лечение активного заражения	Отлично	-	Отлично
Защита от новейших вирусов	Отлично	Нормально	Плохо
Цена	1 320 руб./2 ПК/1 год	1 950 руб./3 ПК/1 год	1 990 руб./2 ПК/1 год
Итоговая оценка	Отлично	Нормально	Нормально

По данным проведенного анализа, можно определить, что антивирусная программа KASPERSKYInternetSecurity является очень эффективной с поддержкой всевозможных параметров защиты, а также с привлекающей ценой. Поэтому целесообразно использовать именно эту программу для защиты информационных ресурсов автоматизированной системы.

Предложенная система защиты информации выделенного помещения общеобразовательного учреждения повысит эффективность защиты, но не обеспечит визуальный просмотр времени попыток несанкционированного доступа к информации, поэтому предлагаю разработать систему видеонаблюдения объектов защиты учреждения.

2.3 Разработка системы видеонаблюдения объекта защиты

Видеонаблюдение - это процесс, основанный на использовании специального оборудования, которое может осуществлять визуальный контроль над определенной территорией и в автоматическом режиме анализировать отдельные объекты.

Фактически речь идет о способности не просто передавать изображение на экран, но и выделять некие значимые компоненты (в качестве примера можно привести распознавание автомобильных номеров, лиц). В этом плане видеонаблюдение является аналогом человеческого зрения: в обоих случаях речь идет о сложном взаимодействии, в котором участвуют воспринимающее устройство и анализатор.

Задачами видеонаблюдения учреждений является:

1. Обнаружение:

ь общее наблюдение за обстановкой;

ь верификация тревоги от системы охранной сигнализации;

ь обнаружение всех перемещающихся в определенном направлении;

2. Идентификация:

ь получение изображения лица любого человека, который подходит к зоне (или находится в ней), позволяющего впоследствии узнать человека;

ь идентификация записанного изображения с хранящимся в базе данных.

Для организации круглосуточного видеонаблюдения предлагаю использовать фиксированные камеры с углом обзора 90°.

Предлагаю рассмотреть недорогие варианты камер видеонаблюдения, приведенных в таблице 6.

Таблица 6 - Сравнительный анализ фиксированных камер видеонаблюдения 90°

Название фиксированной камеры видеонаблюдения Характеристики	Купольная AHDкамера CTV-HDD2810APE	Купольная HD-CVI камера HAC-HDBW2120R-Z
Разрешение	1Mpix (1280 х 800)	1 Mpix (1280 х 720)
Потребляемая мощность	не более 12 В	не более 9 В
ИК-подсветка	есть	есть
Дальность ИК-подсветки	20 м	30 м
Габаритные размеры	O 118 x 90,5 мм	O122х89 мм
Рабочие температуры	-35°…+50°	-30°…+60°
Цена	3 476 руб.	8 660 руб.

Для использования в общеобразовательном учреждении, рассматриваемого в данном курсовом проекте, предлагаю приобрести купольную AHD камеру CTV-HDD2810A PE для защиты большинства помещений рассматриваемого образовательного учреждения.Считаю, что более дорогую купольнуюHD-CVI камеру HAC-HDBW2120R-Zставить не целесообразно, так как разница в цене очень отличается, а характеристики в большинстве соответствуют друг другу.

Фиксированные камеры способны передавать изображения, направленные в определенный угол обзора, чего иногда недостаточно, для наблюдения для длинных коридоров. Поэтому на отдельные участки объекта защиты рекомендую поставить панорамные камеры видеонаблюдения с углом обзора до 180°.

Сравнительный анализ панорамных камер видеонаблюдения приведен в таблице 7.

Таблица 7 - Сравнительный анализ панорамных камер видеонаблюдения

Название панорамной камеры видеонаблюдения Характеристики	Поворотная купольная видеокамера HSD-27-580-K1-IR120	Поворотная купольная видеокамера SPC-3120P
Производитель	HI-VISION	SAMSUNG
Разрешение	1024 х 756 Mpix	933 х 700 Mpix
Потребляемая мощность	не более 40 В	не более 45 В
Габаритные размеры	-	154 x 150 мм
Рабочие температуры	-40°…+60°	-10°…+50°

В местах, где не подходят камеры с фиксированным углом обзора в 90°, рекомендуется применить панорамную купольнуюHSD-27-580-K1-IR120с градусом обзора 180°, так как она с более высоким расширением, чем поворотная купольная видеокамера SPC-3120P и наименьшей потребляемой мощностью.

Пример расстановки камер видеонаблюдения на объекте защиты представлен в Приложении 5.

Применение данных средств систем видеонаблюдения обеспечит круглосуточный просмотр или видеозапись помещений учреждения, а, следовательно, усилит надежность всей комплексной системы защиты информации в целом.



2.4 Внедрение в эксплуатацию модифицированной системы защиты информации

Внедрение в эксплуатацию системы защиты информации подразумевает выполнение мероприятий по защите информации, предусмотренных техническим проектом. Внедрение системы защиты информации осуществляет обладатель информации.

Настоящие требования о защите информации разработаны в соответствии с Федеральным Законом от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», а также с учетом национальных стандартов Российской Федерации в области защиты информации и в области создания автоматизированных систем (далее - национальные стандарты).

Внедрение системы защиты информации информационных систем включает:

ь установку и настройку средств защиты информации в информационной системе;

ь разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации;

ь внедрение организационных мер защиты информации;

ь предварительные испытания системы защиты информации информационной системы;

ь опытную эксплуатацию системы защиты информации информационной системы;

ь анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;

ь приемочные испытания системы защиты информации информационной системы.

К внедрению системы защиты информации информационной системы привлекается оператор информационной системы в случае, если он определен в соответствии с Законодательством Российской Федерации к моменту внедрения системы защиты информации информационной системы и не является заказчиков данной системы.

Установку и настройку средств защиты информации в информационной системе должна проводиться в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и документацией на средства защиты информации.

При внедрении организационных мер защиты информации осуществляются:

ь реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;

ь проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов информационной системы по реализации организационных мер защиты;

ь отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.

Предварительные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем» и включают проверку работоспособности системы защиты информации информационной системы, а также принятие решения о возможности опытной эксплуатации системы защиты информации информационной системы.

Опытная эксплуатация системы защиты информации информационной системы проводится с учетом ГОСТ 34.603 и включает проверку функционирования системы защиты информации информационной системы, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации системы защиты информации информационной системы.

Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем системы защиты информации информационной системы и предотвращения реализации угроз безопасности информации.

Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы.



ЗАКЛЮЧЕНИЕ

Система защиты информации - это комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение третьим лицам и исключающих или существенно затрудняющих несанкционированный, незаконный доступ к засекреченной информации и ее носителям.

В данной курсовой работе был проведен анализ правовых, организационных, технических, а также программных средствзащиты информации, как для выделенного помещения, так и общеобразовательного учреждения (объекта защиты информации) в целом, анализ возможных угроз информационной безопасности, выявлены недостатки имеющийся системы защиты информации и предложены меры по их устранению и усовершенствования системы безопасности общеобразовательного учреждения, а также произведена «установка» видеонаблюдения на объекте исследования. Вместе с вышеперечисленным были рассмотрены основные рекомендации по внедрению в эксплуатацию системы защиты информации.

В курсовой работе проводились теоретические и практические исследования в области защиты информации от разнообразных каналов утечки информации.

В первом разделе первой главы курсовой работы были изучены основные понятия информационной безопасности.

Во втором разделе рассматривались технические каналы утечки информации.

...