Разработка и внедрение комплексной системы защиты информации для медицинского учреждения

Дополнительные физически средства защиты информации.

Информация находить как на бумажных носителях так и в электроном варианте. Чтобы защитить и предотвратить посигательства со стороны злоумышлеников на информацию хранящуюся на бумажных носителях необходимо хранить в специальных сейфах для документов.

В качестве хранилища для документов содержащих конфиденциальную информацию используем SteelOff US8 12.L22, так остальные сейфы уступают ему по качеству надежности и приемлемой цене . Необходимо 7 штук для каждого отдела. Производитель дает на них 5 лет гарантии. Отличительные особенности :

- Хорошая вместимость позволяет свободно разместить внутри 6 папок "Корона" под документы формата А4. Офисные сейфы серии "US" отличаются современным дизайном, хорошими защитными качествами и невысокой стоимостью.

- Стальной корпус имеет сварную конструкцию, толщина боковых стенок - 3 мм. Дверь на внутренних петлях, имеет усиленную коробчатую конструкцию и запирается двумя ключевыми замками (Hartstahl) сувальдного типа, оборудованными пломбирующими устройствами. Замки трехригельные, сертифицированные - 2 класса.

- Интерьер сейфа оборудован запираемым кассовым отделением и одной съемной полкой с регулируемой высотой установки. С внутренней стороны двери установлена рамка под список или опись. Возможно изготовление модификации по эскизам заказчика с отличными от базовой - габаритами, конструкцией, внутренним устройством.

- Поверхность сейфа имеет защитное полимерно-порошковое покрытие, изготовленное на основе сертифицированных материалов франко-итальянского производства. Конструкцией предусмотрена возможность крепления сейфа анкерными болтами к полу или стене - уточните нужный вариант при формировании предварительного заказа.

За частую двери в офисах бывают открыты из-за невнимательности либо не желании вообще закрывать любую дверь. В результате чего любой посторонний человек может либо подсмотреть или подслушать любую информацию. Для того чтобы это избежать оснастим каждую дверь доводчиком для двери. Необходимо 12 штук для каждой двери.

3.3.2 Выбор аппаратных средств защиты

- Оптический

- Радиоэлектронный

- Акустический

- Виброакустический

Таблица 3 - Выбор аппаратных средств защиты

Выбор аппаратных средств основан на ряде факторов:

-Цена

-Эффективность (относительно других схожих аппаратных средств)

- Простота использования

- Сертификат соответствия ФСТЭК

Для решения поставленной задачи выбраны следующие технические решения.

Защита телефонной линии

Защита информации от утечки по акустическому каналу -- это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.

Для защиты информации от утечки по акустическому и виброакустическому каналам используется система защиты помещений по виброакустическому каналу Соната АВ 1М. Система имеет сертификат соответствия ФСТЭК № 1082.

Рисунок 3.18 - Генератор виброакустического шума Соната-АВ-1М

Назначение:

Генератор виброакустического шума "Соната-АВ-1М" предназначен для защиты помещений от утечки речевой информации по акустическим и виброканалам [33].

Описание:

Модель 1М имеет два выхода с независимым программированием вида помехи (вибро- или аудио-) и регулировкой ее уровня, отличительной особенностью модели 1М является повышенная нагрузочная способность (см. технические характеристики).

Генератор виброакустического шума "Соната-АВ" соответствует "Требованиям по защите информации, составляющей государственную тайну, от утечки по техническим каналам" (СТР) и может использоваться для защиты выделенных помещений 1 категории.

Правильно установленный и отрегулированный генератор "Соната-АВ" позволяет нейтрализовать такие виды подслушивания, как [6]:

- непосредственное подслушивание в условиях плохой звукоизоляции в помещении;

- применение радио- и проводных микрофонов, установленных в полостях стен, в надпотолочном пространстве, вентиляционных коробах и т.п.;

- применение стетоскопов, установленных на стенах (потолках, полах), трубах водо- (тепло-, и газо-) снабжения и т.п.;

- применение лазерных и микроволновых систем съема аудиоинформации с окон и элементов интерьера. Модели 1а и 1м имеют два выхода с независимым программированием вида помехи (вибро- или аудио-) и регулировкой ее уровня. У всех моделей предусмотрен вход удаленного проводного управления.

Генератор шума ГШ-1000М

Пространственное зашумление.

Генераторы шума ГШ-1000М предназначены для маскировки информативных побочных электромагнитных излучений и наводок (ПЭМИН) персональных компьютеров, рабочих станций компьютерных сетей и комплексов на объектах вычислительной техники путем формирования и излучения в окружающее пространство электромагнитного поля шума (ЭМПШ) в широком диапазоне частот.

Один генератор обеспечивает маскировку (защиту) информации устройств вычислительной техники, размещённой в помещении площадью порядка 40 кв. м.

При установке генератора ГШ-1000М допускается поворот плоскости излучающей антенны вокруг оси, проходящей через боковые стенки корпуса. При этом плоскость антенны можно поворачивать на ± 90 ° и фиксировать в этих пределах под любым углом [34].

Рисунок 3.19 - Генератор шума ГШ-1000М

Для защиты информации от утечки по побочным электромагнитным каналам на больших вычислительных центрах, в терминальных залах, мощных вычислительных комплексах рекомендуется использовать несколько комплектов ГШ-1000М, размещая их по периметру объекта. Максимальное расстояние между соседними генераторами должно быть не более 20 метров.

Электромагнитные поля, создаваемые генераторами на расстоянии 1 м, не превышают допустимого уровня на рабочих местах и соответствуют ГОСТ 12.1.006 84 (1999), СаНПиН 2.2.4/2.1.8.055-96. Изделие имеет сертификат ФСТЭК РФ.

Генератор шума ГШ-К-1000М

Генераторы шума ГШ-К-1000М предназначены для маскировки информативных побочных электромагнитных излучений и наводок (ПЭМИН) персональных компьютеров, рабочих станций компьютерных сетей и комплексов на объектах вычислительной техники путем формирования и излучения в окружающее пространство электромагнитного поля шума (ЭМПШ) в широком диапазоне частот.

Один генератор обеспечивает маскировку (защиту) информации устройств вычислительной техники, размещённой в помещении площадью порядка 40 кв.м.

Рисунок 3.20 - Генератор шума ГШ-К-1000М

Плата генератора ГШ-К-1000М устанавливается в свободный слот шины PCI или ISA материнской платы персонального компьютера [34].

Электромагнитные поля, создаваемые генераторами на расстоянии 1 м, не превышают допустимого уровня на рабочих местах и соответствуют ГОСТ 12.1.006 84 (1999), СаНПиН 2.2.4/2.1.8.055-96.

Изделие имеет сертификат ФСТЭК РФ.

Устройство защиты цепей электросети и заземления SEL SP-44

Рисунок 3.21 - Устройство защиты цепей электросети и заземления SEL SP-44

Устройство защиты цепей электросети и заземления SEL SP-44 является техническим средством защиты информации, обрабатываемой на объектах вычислительной техники 1, 2 и 3 категории, от утeчки за счёт наводок по цепям электропитания и заземления путём постановки маскирующих помех в цепях электропитания и заземления в диапазоне частот 0,01 - 300 МГц и может устанавливаться в выделенных помещениях до 1 категории включительно без применения дополнительных мер защиты.

SEL SP-44 представляет собой генератор регулируемого шума по электросети и является техническим средством активной защиты от утечки информации по сети электропитания и подавления устройств несанкционированного съёма информации, использующих электросеть в качестве канала передачи [35].

Отличительные особенности:

- Основные узлы прибора - формирователи шума, регуляторы уровня и выходные усилители - представляют собой полностью цифровые устройства. Это позволяет при сохранении высокого коэффициента качества шумового сигнала полностью исключить утечку информации за счет самовозбуждения, паразитной генерации и модуляции опасным речевым сигналом, а также за счет электрических сигналов, вызванных электроакустическими преобразованиями в элементах схемы, и их утечки по цепям питания.

- Наличие независимых регуляторов уровня для низкочастотного и высокочастотного диапазонов позволяет оптимизировать спектр помехи по электромагнитной совместимости при сохранении достаточной эффективности маскировки.

- Устройство имеет высший класс устойчивости к импульсным помехам и допускает длительную работу в условиях эквивалентного короткого замыкания. Применение ключевых выходных усилителей существенно повышает экономичность, надежность и стабильность параметров изделия, позволяет эксплуатировать его в более жестких климатических условиях.

- Во время работы прибор постоянно осуществляет самотестирование, и в случае неисправности выдаёт звуковой и световой сигнал.

- Управление включением помехи может осуществляться с панели управления или дистанционно.

К тому же иметься :

- Сертификат соответствия ФСТЭК No 1445, действительный до 10.08.2013.

- Санитарно-эпидемиологическое заключение.

- Сертификат ГОСТ Р No РОСС RU.ME06.H00348.

- Награды:

- Диплом и медаль I степени XII Международного форума "Технологии безопасности-2007"

- Диплом и медаль "Гарантия качества и безопасности" международного конкурса "Национальная безопасность"

3.3.3 Выбор программных средств защиты

Класс защищенности:

Согласно руководящему документу РД " Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации " АС относиться к первой группе и классу 1Г, необходимо повысить класс до 1В с помощью программного обеспечения Sercret Net 6.5.

МЭ согласно РД "Средства вычислительной техники. Межсетевые экраны Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации " полностью соответствует нужному классу (3 класс).

СВТ на данный момент имеет 5 класс защищенности, для надёжной работы КСЗИ необходимо повысить до 2 класса. Для этого установим Secret Net 6.5.

АВС имеет класс А3, который соответствует необходимым требованиям.

В качестве дополнения к уже существующим средствам в страховой компании будет добавлено следующее программное обеспечение:

Secret Net 6.5

Secret Net позволяеет привести автоматизированную систему в соответствие требованиям регулирующих документов по защите конфиденциальной информации, персональных данных.

Рисунок 3.22 - ключевые возможности SecretNet

Варианты развертывания Secret Net:

Будет выбран автономный вариант - предназначенный для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.

Назначение СЗИ Secret Net

Сертифицированное средство защиты информации от несанкционированного доступа на рабочих станциях и серверах.

СЗИ Secret Net предназначено для защиты информации, составляющей коммерческую или государственную тайну или относящейся к персональным данным. Является эффективным средством защиты от внутренних (инсайдерских) угроз, может применяться как на автономных станциях, так и в информационных сетях.

Данное программное обеспечение поможет разграничить необходимый требуемый доступ во внутренней локальной вычислительной сети страховой компании. Права доступа будут назначаться на уже имеющийся в компании файловый сервер.

Данное программное обеспечение необходимо установить на все персональные компьютеры находящиеся в страховой компании.

3.4 Введение в эксплуатацию системы защиты информации

Введение в эксплуатацию системы защиты информации подразумевает выполнение мероприятий по защите информации, предусмотренных техническим проектом. К работам по монтажу технических средств обработки информации, вспомогательных технических средств, а также проведения технических мероприятий по защите информации должны привлекаться организации, имеющие лицензию ФСТЭК РФ.

Монтажной организацией или заказчиком проводятся закупка сертифицированных ТСОИ и специальная проверка не сертифицированных ТСОИ на предмет обнаружения возможно внедренных в них электронных устройств перехвата информации (“закладок”) и их специальные исследования.

По результатам специальных исследований ТСОИ уточняются мероприятия по защите информации. В случае необходимости вносятся соответствующие изменения в технический проект, которые согласовываются с проектной организацией и заказчиком.

Проводятся закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка в соответствии с техническим проектом.

Службой (специалистом) безопасности организуется контроль проведения всех мероприятий по защите информации, предусмотренных техническим проектом.

В период установки и монтажа ТСОИ и средств защиты информации особое внимание должно уделяться обеспечению режима и охране защищаемого объекта.

К некоторым мероприятиям по организации контроля в этот период можно отнести [36]:

- перед монтажом необходимо обеспечить скрытную проверку всех монтируемых конструкций, особенно установочного оборудования, на наличие разного рода меток и отличий их друг от друга, а также закладных устройств;

- необходимо организовать периодический осмотр зон выделенных помещений в вечернее или в нерабочее время при отсутствии в нем строителей в целях выявления подозрительных участков и мест;

- организовать контроль за ходом всех видов строительных работ на территории и в здании. Основная функция контроля заключается в подтверждении правильности технологии строительно-монтажных работ и соответствия их техническому проекту;

- организовать осмотр мест и участков конструкций, которые по технологии подлежат закрытию другими конструкциями. Такой контроль может быть организован легально под легендой необходимости проверки качества монтажа и материалов или скрытно;

- необходимо тщательно проверять соответствие монтажных схем и количество прокладываемых проводов техническому проекту. Особое внимание необходимо уделять этапу ввода проводных коммуникаций и кабелей в зону выделенных помещений. Все прокладываемые резервные провода и кабели необходимо нанести на план-схему с указанием мест их начала и окончания.

Перед установкой в выделенные помещения и на объекты информатизации мебели и предметов интерьера технические устройства и средства оргтехники должны проверяться на отсутствие закладных устройств. Одновременно целесообразно провести проверку технических средств на уровни побочных электромагнитных излучений. Такую проверку целесообразно проводить в специально оборудованном помещении или на промежуточном складе [36].

После установки и монтажа технических средств защиты информации проводится их опытная эксплуатация в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации.

По результатам опытной эксплуатации проводятся приемо-сдаточные испытания средств защиты информации с оформлением соответствующего акта.

По завершении ввода в эксплуатацию СЗИ проводится аттестация объектов информатизации и выделенных помещений по требованиям безопасности. Она является процедурой официального подтверждения эффективности комплекса реализованных на объекте мер и средств защиты информации .

При необходимости по решению руководителя организации могут быть проведены работы по поиску электронных устройств съема информации (“закладных устройств”), возможно внедренных в выделенные помещения, осуществляемые организациями, имеющими соответствующие лицензии ФСБ России.

В период эксплуатации периодически должны проводиться специальные обследования и проверки выделенных помещений и объектов информатизации. Специальные обследования должны проводиться под легендой для сотрудников организации или в их отсутствие (допускается присутствие ограниченного круга лиц из числа руководителей организации и сотрудников службы безопасности) [36].

4. АНАЛИЗ ЭФФЕКТИВНОСТИ КОМПЛЕКСНОЙ СИСТЕМЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И НАДЕЖНОСТИ ЕЕ ФУНКЦИОНИРОВАНИЯ

Для решения задачи по анализу эффективности комплексной системы безопасности информации разработанной для страховой компании, воспользуемся известным методом CRAMM.

Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.

Для оценки угроз выбраны следующие косвенные факторы:

· Статистика по зарегистрированным инцидентам.

· Тенденции в статистке по подобным нарушениям.

· Наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей.

· Моральные качества персонала.

· Возможность извлечь выгоду из изменения обрабатываемой в системе информации.

· Наличие альтернативных способов доступа к информации.

· Статистика по подобным нарушениям в других информационных системах организации.

Для оценки уязвимостей выбраны следующие косвенные факторы:

· Количество рабочих мест (пользователей) в системе.

· Размер рабочих групп.

· Осведомленность руководства о действиях сотрудников (разные аспекты).

· Характер используемого на рабочих местах оборудования и ПО.

· Полномочия пользователей.

· По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые «стоят» определенное количество баллов.

Итоговая оценка угрозы и уязвимости определяется путем суммирования баллов.

Несомненным достоинством данного подхода является возможность учета множества косвенных факторов (не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки.

Оценка уязвимости

Таблица 4 - Оценка уязвимостей

Таблица 5 - Степень уязвимости при количестве полученных баллов

Таблица 6 - Полученные результаты (до разработки КСЗИ)

Так как сумма баллов 34, следовательно, степень уязвимости до разработки комплексной системы защиты информации является Высокой. Отсюда делаем вывод, что требуется незамедлительное улучшение и доработка СКЗИ.

Таблица 7 - Полученные результаты (после разработки КСЗИ)

Так как сумма баллов 29, следовательно, степень уязвимости комплексной системы защиты информации является Высокой.

Размещено на Allbest.ru