Трансформаторная подстанция находится в пределах контролируемой зоны. Допуск лиц в трансформаторную подстанцию, щитовую и распределительным щитам ограничен.

Система электроснабжения трехфазная, с глухозаземлённой нейтралью. Значение сопротивления заземляющего устройства составляет 5 Ом. Расстояние от заземляющего устройства до границы контролируемой зоны составляет 40 метров.

Напряжение 0.4 кВ от трансформаторной подстанции поступает в щитовую здания. От щитовой электропитание подаётся на распределительные щиты освещения и розеточной сети, от которой запитан объект информатизации.

Сторонние потребители за пределами контролируемой зоны, подключенные по низковольтной части к трансформатору, отсутствуют.

Так как трансформаторная подстанция находится в пределах контролируемой зоны, то проводить специальные исследование сетей электропитания не требуется, также нет необходимости применять средства защиты инофрмации от утечки по сетям электропитания.

3.2.3 Системы инженерных коммуникаций объекта

В помещениях объекта ТСПИ находятся оконечные устройства инженерно-технических коммуникаций в виде батарей центрального отопления. Элементы систем водоснабжения и канализации в помещения объекта ТСПИ не заходят.

Подача холодной воды на производственное предприятие осуществляется от системы водоснабжения города, расположенной за пределами контролируемой территории. В качестве трубопроводов применены стальные трубы. Трубопроводы заходят в контролируемую зону в районе котельной.

Система отопления производственного предприятия - централизованная, водяная. Нагрев воды осуществляется на котельной, расположенной в пределах контролируемой зоны. От котельной нагретая вода подаётся по трубам в административное здание. Тепловые сети диэлектрическими вставками не оборудованы, за пределы контролируемой зоны не выходят.

Котельная и узел ввода находится под контролем обслуживающего персонала теплового хозяйства базы хранения и службы безопасности предприятия.

Канализационная система административного здания выполнена с использованием пластиковых труб. Выход канализационных труб здания в магистральный коллектор осуществляется из подвала здания. Магистральный коллектор выполнен из керамических труб, что исключает утечку информации по канализационной системе.

3.2.4 Системы связи объекта

На охраняемой территории установлена внутренняя цифровая мини-АТС, через которую линии телефонной связи выходят к городской АТС.

Наименование установленных телефонных аппаратов представлено в таблице 11.

Таблица 11 - Перечень установленных телефонных средств

№ п/п	Наименование технического средства	Тип технического средства	Количество, шт.
1	Цифровая мини-АТС	Panasonic KX-NCP1000RU	1
2	Телефонный аппарат	Panasonic KX-TS2356RU	49

3.2.5 Системы охранной и пожарной сигнализации объекта

Помещения объекта информатизации оборудованы техническими средствами охранной и пожарной сигнализации. Лучи системы охранной и пожарной сигнализации от охраняемых помещений подключены к пульту сигнализации «С-2000», расположенному в помещении пункта охраны на территории здания. Линии системы охранной и пожарной сигнализации выхода за пределы контролируемой зоны не имеют.

3.3 Анализ информации, циркулирующей на объекте

В соответствие с Федеральным законом «О коммерческой тайне» № 98-ФЗ приказом Генерального директора утвержден перечень информации конфиденциального характера, составляющих коммерческую тайну.

Коммерческую тайну составляют сведения:

- о новейших разработках;

- о направлениях исследований;

- о промышленных образцах;

- конструкторские чертежи, проекты и регламентирующие документы;

- сведения о внутренних и зарубежных клиентах, договорах и совершаемых сделках.

- сведения, содержащие государственную тайну

В электронных документах содержится информация ограниченного доступа, подлежащая защите. Анализ сведений, предполагаемых для размещения в электронных документах показал, что на АРМ будут размещаться сведения, составляющие коммерческую тайну.

При создании электронных документов возможны следующие режимы обработки информации ограниченного пользования с использованием технических средств объекта ТСПИ:

- ввод данных с клавиатуры;

- вывод информации на экран монитора;

- вывод информации на экран проектора в переговорной;

- чтение (запись) информации с (на) жёсткие диски;

- чтение информации с (на) CD/DVD;

- чтение (запись) информации с (на) flash-носитель;

- вывод информации на печать.

Распоряжением генерального директора установлено, что вся информация, обрабатываемая на объекте ТСПИ, будет обсуждаться в шести помещениях, а именно в кабинете начальника отдела планирования и развития (№202), в отделе защиты информации (№204, №205, №209, №211) и в комнате для ведения переговоров.



3.4 Анализ возможных технических каналов утечки информации

3.4.1 Каналы утечки телекоммуникационной информации

В таблице 12 представлены максимальные размеры зон для ОТСС, установленных на объекте, рассчитанные по результатам специальных исследований.

Таблица 12 - Размеры зон

№ п/п	Тип ОТСС	, м	, м	, м
1	ПЭВМ	35	2,0	0,8
2	МФУ	41	2,4	1,0
3	Проектор	37	2,1	0,9
4	Сервер базы данных	72	2,5	0,8
5	Сетевой коммутатор	29	1,9	0,5

3.4.1.1 Электромагнитный канал

Анализируя данные полученные в таблицах 10 и 12, получаем, что при максимальном размере зоны = 72 метров точкой возможного ведения разведки за счет ПЭМИ могут являться ТВВР №2 (рисунок 3).

3.4.1.2 Электрический канал

В ходе анализа было установлено, что на объекте ТСПИ имеются ОТСС, которые являются источниками наводок.

Так как в помещениях объекта ТСПИ не выполнены условия разноса ОТСС, ВТСС и посторонних проводников, то возможны наводки:

- в линиях пожарной и охранной сигнализации;

- в трубах системы отопления;

- в трубах систем водоснабжения и канализации;

- в линиях электропитания и заземления;

- в телефонных линиях.

Поскольку линии пожарной и охранной сигнализаций не имеют выхода за пределы КЗ, наводки в них невозможны. На территории имеется своя котельная. Магистральный коллектор выполнен из керамических труб, что исключает возможность утечки информации по канализационной системе. Электропитание осуществляется от трансформаторной подстанции, находящейся в пределах КЗ, перехват сигналов за счет наводок на линии электропитания невозможен. Заземляющее устройство также находится в пределах КЗ.

Цифровая мини-АТС, установленная на объекте защиты, имеет выход в городскую телефонную сеть. Для исключения возможности прослушивания ведущихся разговоров рекомендуется установить прибор защиты телефонной линии от АТС до ГТС.

Так как организационно-технические мероприятия, введенные на территории КЗ, исключают появление злоумышленника с сосредоточенной антенной, то перехват информации за счет наводок на сосредоточенную случайную антенну невозможен.

3.4.1.3 Параметрический канал

Параметрические технические каналы утечки информации могут быть реализованы путем «высокочастотного облучения» помещения, где установлены полуактивные закладные устройства. Так как на объекте информатизации установлены организационные мероприятия, исключающие возможность установки закладных устройств, защита информации от утечки по параметрическому каналу нецелесообразна.

3.4.2 Технические каналы утечки речевой информации

3.4.2.1 Акустический и виброакустический каналы

На этапе строительства были предприняты меры по улучшению звукоизоляционных свойств помещений, в которых будет циркулировать речевая информация конфиденциального характера. Входы в помещения №202, №204, №205, №209, №211 и комната для переговоров, оборудованы двойными дверьми с тамбуром шириной 40 см с уплотнителями по периметру дверных полотен. Звукоизоляция стен между кабинетами и коридором, кабинетами и смежными помещениями повышена путем утолщения стен и крепления к ним дополнительных перегородок. Между перегородкой и стеной размещен звукопоглощающий пористый материал. В этих помещениях установлены окна с тройным герметичным стеклопакетом. Вибрационный канал по внешним стенам и инженерным коммуникациям невозможен, вследствие того, что здание расположено на удаление от границы КЗ, а инженерные коммуникации и проводные линии не имеют выхода за КЗ.

Таким образом, перехват информации по прямому акустическому каналу возможен только при проведении переговоров при открытых окнах в помещениях, а также с использованием направленных микрофонов из-за пределов КЗ, так как дальность из действия больше, чем расстоянии от окон до границы КЗ.

3.4.2.2 Акустооптический канал

В помещениях №202, №204, №205, №209, №211 имеется по 1 окну, а в переговорной 3 окна, через которые возможна утечка информации по акустооптическому каналу под воздействием акустического сигнала на оконные стекла. Перехват информации по акустооптическому каналу может осуществляться при облучении оконного стекла с использованием лазерных акустических систем разведки из-за границы КЗ.

3.4.2.3 Акустоэлектрический и параметрический каналы

Просачивание информационного сигнала, наведенного в телефонных линиях в результате «микрофонного эффекта» за пределы КЗ, невозможно, так как на объекте используется собственная АТС.

При облучении технических средств зондирующим сигналом, отраженных сигналов, промодулированных информационным сигналом не было зафиксировано. Также проверенные технические средства не подвержены «высокочастотному навязыванию» и «высокочастотному облучению». Следовательно, утечка информации по параметрическому каналу невозможна.

3.5 Выбор средств и мероприятий, используемых для закрытия технических каналов утечки информации

3.5.1 Электромагнитный и электрический каналы

Для исключения возможности возникновения электромагнитного и электрического каналов утечки телекоммуникационной информации предлагается использовать систему защиты от утечки информации по каналам ПЭМИН «Соната-Р2». Применение данного устройства позволяет осуществлять комплексную защиту средств от утечки информации по каналам ПЭМИН.

«Соната-Р2» - это устройство, использующееся для защиты объектов информатизации от утечки информации по техническим каналам: ПЭМИ (1…2000 МГц); электросети, инженерным коммуникациям (0,1…1000 МГц), линиям заземления.

Основные особенности

- встроенная система контроля интегрального уровня излучения, снабженная световой индикацией и звуковой сигнализацией;

- регуляция интегрального уровня формируемых электромагнитного поля шума и шумовых напряжений в линиях электропитания и заземления;

- наличие встроенной сверхширокополосной антенны;

- исполнение корпуса в виде моноблока;

- эффективное излучение электромагнитной энергии шума в диапазоне частот не менее 0.01…2000 МГц;

- относительно невысокая цена.

Для защиты информации от утечки по электрическому каналу выберем прибор защиты телефонной линии от АТС до ГТС «SEL SP-17/D».

«SEL SP-17/D» является техническим средством активной защиты информации и соответствует требованиям нормативных документов ФСТЭК России. Прибор обеспечивает эффективное противодействие следующим средствам несанкционированного съема информации:

- телефонным радиопередатчикам с питанием от линии и с внешним питанием, включенным в линию последовательно, параллельно или через индуктивные датчики;

- аппаратуре магнитной записи, подключаемой к линии через контактные адаптеры или индуктивные датчики;

- аппаратуре «ВЧ-навязывания».

3.5.2 Акустический и акустооптический каналы

В качестве генератора шума предлагается использовать систему виброакустической и акустической защиты «Соната-АВ», модель 2Б, в составе генераторов-виброизлучателей «Соната СП-45М» для защиты от утечки информации по акустооптическому каналу.

Рекомендуется установка по одному виброизлучателю «Соната СП-45М» на каждое оконное полотно. Размер оконного проема: 1600х1760 мм, размер оконного полотна 600x1560 мм. Таким образом, понадобится 9 генераторов-виброизлучателей.

3.5.3 Организационные мероприятия

Рекомендации по защите информации от утечки по техническим каналам:

- по решению руководителя предприятия проводить специальную проверку защищаемых помещений и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств перехвата информации «закладок»;

- во время проведения конфиденциальных мероприятий запрещается использование в защищаемых помещениях радиотелефонов, устройств сотовой связи и средств аудио и видеозаписи;

- установка, ремонт и замена оборудования, мебели должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации предприятия;

- закрывать окна в помещениях №202, №204, №205, №209, №211 и переговорной при ведении конфиденциальных переговоров;

- для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи);

- включение электромагнитной системы зашумления «Соната-Р2» при работе с ПЭВМ;

- при выходе из защищаемых помещений, в случае, если в помещении не остается допущенных к работе в нем лиц, ответственные за эти помещения должны закрывать их на ключ и опечатывать с использованиям пломб.

3.6 Оценка материальных затрат на внедрение средств защиты

Общие затраты на систему защиты информации от утечки по техническим каналам представлены в таблице 13.

Таблица 13 - Затраты на создание системы защиты

№ п/п	Наименование	Стоимость, руб.	Количество, шт.	Затраты, руб.
1	Система «Соната-Р2»	16 500	10	165 000
2	Система виброакустической и акустической защиты «Соната-АВ», модель 2Б:
	· Соната-СП-45М	2 832	9	25 488
	· Соната-ИП1	10 620	3	32 860
3	Устройство защиты телефонных переговоров «SEL SP-17/D»	19 300	1	19 300
Итого	242 648



4. АНАЛИТИЧЕСКАЯ ЧАСТЬ ИССЛЕДОВАНИЯ ЗАЩИТЫ ЛВС НА ОАО «ПЭМЗ» «МОЛОТ»

4.1 Краткая характеристика ОАО «ПЭМЗ» «Молот»

В настоящее время ОАО «ПЭМЗ» «Молот» серийно производит составные части, приборы и системы управления оружием, приборы и составные части боевых информационно-управляющих систем, тренажерные комплексы для ВМФ.

Предприятие является основным поставщиком авторулевых систем для всех типов кораблей и судов.

Предприятие осуществляет выпуск запасных частей и компонентов ЗИП, ремонт выпущенных ранее и выпускаемых в настоящее время изделий.

Предприятие имеет лицензию на осуществление разработки, производства, испытания, установки, монтажа, технического обслуживания, ремонта, утилизации и реализации вооружения и военной техники №002834 ВВТ-П от 31 мая 2013 г.

Завод имеет следующие виды производств:

- литейное;

- кузнечно-штамповочное;

- механообрабатывающее;

- раскройно-заготовительное;

- каркасно-сварочное;

- гальваническое и лакокрасочное;

- производство литых изделий из пластмасс и резины;

- сборочно-монтажное и регулировочно-сдаточное;

- деревообрабатывающее;

- инструментальное;

- автотранспортное хозяйство;

- лабораторию климатических и механических испытаний.

Система менеджмента качества сертифицирована и соответствует требованиям Госта Р ИСО 9001-2001 и Госта РВ 15.002-2003.

4.2 Характеристика локально-вычислительной сети ОАО «ПЭМЗ» «Молот»

Локально-вычислительная сеть предприятия построена по технологии Ethernet с использованием маршрутизаторов ZyXEL GS-4024F и ASUS AX- 112W по топологии «дерево с активными узлами».

Технические характеристики маршрутизатора ZyXEL GS-4024F приведены в таблице 14.

Таблица 14 - Основные характеристики ZyXEL GS-4024

Наименование	Значение
Коммутационная матрица	Неблокируемая коммутация с пропускной способностью 48 Гбит/с
Скорость коммутации кадров	35.7 млн пак/с
Продвижение jumbo frame	C промежуточным хранением (store- and-forward)
Таблица MAC-адресов	16000 записей
Таблица IP-адресов	8000 записей
Буфер данных	2 Мбайт
Способ коммутации	Продвижение кадров jumbo frame размером до 9216 байт
Приоритезация трафика	8 очередей приоритетов на порт 802.1р Алгоритм обработки очередей: SPQ, WRR Приоритезация на базе DiffServ (DSCP)
Ограничение скорости	Ограничение скорости передачи данных на каждом порту с шагом 1 Мбит/с Параметры указания пиковой и гаратированной скорости передачи данных 2-rate-3-color
Аутентификация пользователей	Аутентификация пользователей 802.1х
Контроль доступа по МАС-адресу	Фильтрация пакетов по МАС- адресам на каждом порту Привязка MAC-адреса к порту Ораничение количества MAC- адресов на каждом порту

Таблица 15 Технические характеристики D-Link DES-3052

Размер буфера пакетов	Значение
Описание	2-го уровня. 48 портов 10/100 Мбит/с + 2 портами 1000BASE-T +2 комбо-порта 1000BASE-T/SFP
Стекирование	Да
Коммутационная фабрика	17.6 Гбит/с
Размер таблицы МАС-адресов	8K
Статическая таблица МАС- адресов	256
Характеристика	4 Мб
Функции уровня 2
IGMP snooping и группы IGMP snooping	Да
802.1D Spanning Tree (Rapid-, Multiple STP)	Да
802.3ad Link Aggregation	Да (8/6)
Управление широковещательным штормом	Да
Аутентификация RADIUS	Да
SSH и SSL	Да
Функция Port Security	Да (16)
Управление доступом 802.1x на основе портов и MAC-адресов	Да
Web-интерфейс, CLI, Telnet и TFTP	Да
SNMP v1, v2, v3, RMON	Да
SNTP, SYSLOG	SNTP, SYSLOG

В качестве среды передачи данных используется кабель витая пара 5 категории (100BASE-TX) со скоростью передачи до 100 мбит/сек.

В сети выделено 2 сегмента:

- серверный сегмент;

- пользовательский сегмент.

Доступ в Интернет организован по выделенной линии по технологии ADSL со скоростью до 100 мбит/сек.

В качестве ADSL-модема используется D-Link DCM-202.

Технические характеристики модема приведены в таблице 16.

Таблица 16 Технические характеристики D-Link DCM-202

Наименование	Наименование
Интерфейсы устройства	Совместимость с DOCSIS/EuroDOCSIS 2.0 Совместимость с DOCSIS/EuroDOCSIS 1.1 Совместимость с DOCSIS/EuroDOCSIS 1.0 IEEE 802.3/802.3u 10/100BASE-TX Ethernet USB 1.1 тип B
Скорость передачи данных: нисходящий поток	Демодуляция: 64/256QAM Макс. скорость: 38Мбит/с (64QAM).43M6ht/c (256QAM) Диапазон частот: от 91 до 857 МГц ± 30 КГц (точность) Полоса пропускания: 6 МГц Уровень сигнала: от -15dBmV до 15dBmV (автоматически контролируемое модемом усиление)
Питание	Питание на входе: 5В, 1,2А через адаптер питания Потребляемая мощность: 5Вт (режим ожидания), 6Вт (рабочий режим)

В состав серверной фермы входят следующие серверы:

- файловый;

- сервер баз данных;

- почтовый сервер;

- сервер управления.

В качестве аппаратной основы серверов используются решения от IBM - сервера модели x3550 Express.

Основные параметры сервера приведены ниже:

- Четырехядерный процессор Intel® Xeon® E5320, 1.86ГГц (масштабируется до двух).

- Быстродействующая память 2x512МБ, 667МГц (максимальный объем 32ГБ).

- Диски SAS или SATA с "горячей" заменой (до 2.4ТБ или 4.0ТБ соответственно).

- Технология предсказания сбоев Predicitive Failure Analysis1.

- Стандартная гарантия 3 года с обслуживанием на месте.

В комплекте с устройством поставляется специализированное программное обеспечение - IBM Director 6.1 и IBM Systems Director Active Energy Manager.

В качестве устройства резервирования данных будем использовать дисковую систему IBM System Storage DS3200, которая имеет собственное программное обеспечение управления резервированием информации.

Основные характеристики этой системы приведены ниже.

- Масштабируемость до 3,6 Тб при использовании дисков SAS объемом 300 Гбс возможностью горячей замены.

- Упрощение развертывания и управления с помощью DS3000 Storage Manager.

- Возможность дополнительного подключения до трех дисковых полок EXP3000 общим объемом 14,4 Тб.

- Интерфейс - Serial Attached SCSI

Защита сети осуществляется за счет применения антивирусной программы и программного брандмауэра. Кроме того, внедрена политика разделения прав доступа к ресурсам сети и выделены фронтальный участок сети и внутренние участки.

Пользовательский сегмент сети разделен на фрагменты в соответствии с организационным делением предприятия.

В каждом сегменте размещены рабочие станции, технические характеристики которых приведены в таблице 17 и МФУ Brother DCP- 9010CN для распечатки, размножения, ксерокопирования документов технические характеристики которых приведены в таблице 18.

Таблица 17 Технические характеристики рабочих станций

Наименование характеристики	Значение характеристики
Производитель	Depo
Модель	Ego 8510 mn
Тип	Рабочая станция * для корпоративного применения
Корпус	Minitower
Процессор	Amd Athlon 64 х2 4400+ 2.3 Ггц socket am2 brisbane (2 х ядерный) Кеш память: 128 кб (level 1) \ 1 мб (level 2)
Материнская плата	200 мгц fsb На основе чипсета nvidia mcp61s
Оперативная память	Pc6400 ddr2 sdram * 1 гб 240-конт. Dimm - поддержка двухканального режима
Жесткий диск	160 гб * serial ata 1.0 * 7200 об./мин.
Оптическое устройство хранения	Dvd±rw * 5.25м
Сетевой адаптер	Встроенный сетевой адаптер тип сети: -ethernet-fast ethernet Скорость передачи данных: -10 мбит/сек. 100 мбит/сек. Сетевые стандарты:-ieee 802.3 (ethernet) -ieee 802.3u (fast ethernet)
Операционная система	Ms windows xp sp3
Устройства ввода	Клавиатура, мышь
Электропитание	Внутренний блок питания 220 В (перемен. ток) 300 Вт (потребляемая мощность) в режиме работы
Размеры, вес	18 x 36.5 x 35.2 см

Таблица 18 Технические характеристики рабочих станций МФУ

Наименование	Значение
Интерфейс	Hi-Speed USB 2.0 Встроенный сетевой интерфейс Ethernet 10/100 Base
Память	64 Мбайта
Емкость лотков	Основной 250 листов Слот для ручной подачи По одному листу Устройство автоматической подачи документов на 35 листов
Скорость печати	Скорость цветной и чёрно-белой печати до 16 стр/мин
Разрешение печати	До 2400 x 600 т/д
Скорость копирования	Скорость цветного и чёрно-белого копирования до 16 копий в минуту
Скорость сканирования	Ч/б 2,49 секунд (формат A4) Цвет 7,48 секунд (формат A4)

Безопасность информации в настоящее время обеспечивается за счет применения следующих мер:

- использование разграничения доступа с помощью службы AD;

- использование встроенного брандмауэра в коммутаторе;

- использованием антивирусного программного обеспечения - Kaspersky Security Center.

4.3 Анализ возможных типов атак и модели нарушителя осуществляющего атаки на локальную сеть ОАО «ПЭМЗ» «Молот»

Для эффективной защиты ЛВС стоят следующие цели:

- обеспечение конфиденциальности данных в ходе их хранения, обработки или при передаче по ЛВС;

- обеспечение целостности данных в ходе их хранения, обработки или при передаче по ЛВС;

- обеспечение доступности данных, хранимых в ЛВС, а также возможность их своевременной обработки и передачи

- гарантирование идентификации отправителя и получателя сообщений.

Защита ЛВС требует соответствующей комбинации политики безопасности, организационных мер защиты, технических средств защиты, обучения и инструктажей пользователей и плана обеспечения непрерывной работы. Хотя все эти области являются критическими для обеспечения адекватной защиты, основной акцент в этом документе сделан на возможных технических мерах защиты.

Под угрозой понимают потенциально возможное событие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.

Угрозой интересам субъектов информационных отношений будем называть потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию, ее носители и процессы обработки может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

Нарушением безопасности будем называть реализацию угрозы безопасности.

В силу особенностей современных АС, существует значительное число различных видов угроз безопасности субъектов информационных отношений.

Следует иметь ввиду, что научно-технический прогресс может привести к появлению принципиально новых видов угроз и что изощренный ум злоумышленника способен придумать новые пути и способы преодоления систем безопасности, НСД к данным и дезорганизации работы АС.

Источники угроз безопасности

Основными источниками угроз безопасности АС и информации (угроз интересам субъектов информационных отношений) являются:

- стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);

- сбои и отказы оборудования (технических средств) АС;

- ошибки проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);

- ошибки эксплуатации (пользователей, операторов и другого персонала);

- преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).

Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные).

Естественные угрозы - это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы - это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

- непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

- преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников).

Источники угроз по отношению к АС могут быть внешними или внутренними (компоненты самой АС - ее аппаратура, программы, персонал, конечные пользователи).

Таблица 19 - Возможные воздействия на автоматизированную систему

Способы нанесения ущерба	Объекты воздействия
	Оборудования	Данные	Программы	Персонал
Раскрытие (утечка) информации	Хищение носителей информации, подключение к линии связи, несанкционированное использование ресурсов	Несанкционированное копирование перехват	Хищение, копирование, перехват	Передача сведений о защите, разглашение, халатность
Потеря целостности информации	Подключение, модификация, спецвложения, изменение режимов работы, несанкционирован-ное использование ресурсов	Внедрение "троянских коней" и "жучков"	Искажение модификация	Вербовка персонала, "маскарад"
Нарушение работоспособности автоматизированной системы	Изменение режимов функционирования, вывод из строя, хищение, разрушение	Искажение, удаление, подмена	Искажение удаление, навязывание ложных данных	Уход, физическое устранение
Незаконное тиражирование информации	Изготовление аналогов без лицензий	Использование незаконных копий	Публикация без ведома авторов

Все источники угроз информационной безопасности для любой информационной системы, в том числе рассматриваемой организации, можно разделить на две основные группы:

Рисунок 4 Классификация источников угроз

Обусловленные техническими средствами (технические источники) - эти источники угроз менее прогнозируемы и напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.

Обусловленные действиями субъекта (антропогенные источники) - субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированы как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними, так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.

В качестве антропогенного источника угроз для информации можно рассматривать субъекта (личность), имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними, так и внутренними, как случайными, так и преднамеренными. Внутренние и внешние источники могут использовать различные классы уязвимостей: объективные, субъективные, случайные. Методы противодействия для данной группы управляемы, и напрямую зависят от службы безопасности компании.

Внешние источники - напрямую вызваны деятельностью человека. Среди них можно выделить: случайные и преднамеренные.

Случайные (непреднамеренные). Данные источники могут использовать такие классы уязвимостей, как субъективные и случайные. Субъективные могут выражаться в ошибках, совершенных при проектировании ИС и ее элементов, ошибками в программном обеспечении. Случайные могут определятся, различного рода, сбоями и отказами, повреждениями, проявляемыми в ИС компании. К таким источникам можно отнести персонал поставщиков различного рода услуг, персонал надзорных организаций и аварийных служб, др. Действия (угрозы) исходящие от данных источников совершаются по незнанию, невнимательности или халатности, из любопытства, но без злого умысла. Основные угрозы от таких действий - уничтожение, блокирование, искажение информации.

Преднамеренные. Проявляются в корыстных устремлениях субъектов (злоумышленников). Основная цель таких источников - умышленная дезорганизация работы, вывода системы из строя, разглашения и искажения конфиденциальной информации за счет проникновение в систему посредством несанкционированного доступа (НСД) и утечки по техническим каналам. Угрозы от таких источников могут быть самые разные: хищение (копирование информации); уничтожение информации; модификация информации; нарушение доступности (блокирование) информации; навязывание ложной информации. В качестве таких источников могут выступать: потенциальные преступники (террористы) и хакеры; недобросовестные партнеры; представители силовых структур.

Каждым отдельным источником может использоваться определенный класс уязвимостей, в зависимости от преследуемой цели. Например, хакеры могут воспользоваться сбоями в программном обеспечении (случайные уязвимости), недобросовестные партнеры, для получения доступа к информации, могут воспользоваться активизируемыми программными закладками, встроенными в поставленном ими же программном обеспечении (объективные уязвимости), др.

Внутренние источники - как правило, представляют собой первоклассных специалистов в области эксплуатации программного обеспечения и технических средств, знакомых со спецификой решаемых задач, структурой и основными функциями и принципами работы программно - аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети компании. К таким источника можно отнести: основной персонал; представителей служб безопасности; вспомогательный персонал; технических персонал (жизнеобеспечение, эксплуатация). Внутренние антропогенные источники, в связи с их положением в ИС, для реализации угроз, могут использовать каждый из классов уязвимостей (объективные, субъективные, случайные), опять же в зависимости от преследуемых целей. Угрозы от таких источников, также могут самые разные: хищение (копирование информации); уничтожение информации; модификация информации; нарушение доступности (блокирование) информации; навязывание ложной информации.

От реализации угроз, исходящих от антропогенных источников, последствия для информационной системы компании могут быть самыми различными от сбоя в работе, до краха системы в целом. НСД и утечка по техническим каналам может привести: к неконтролируемой передаче пользователями конфиденциальной информации; заражению компьютеров и сетей ИС компьютерными вирусами; нарушению целостности (уничтожению) информации, хранящейся в базах данных и серверах компании; преднамеренному блокированию серверов и сетевых служб; НСД к различным информационно - вычислительным ресурсам.

Угрозы этой группы могут реализовываться различными методами:

- аналитические;

- технические;

- программные;

- социальные;

- организационные.

Источники угроз техногенной группы, напрямую зависят от свойств техники и, поэтому требуют не меньшего внимания. Данные источники также могут быть как внутренними, так и внешними.

Внешние источники - средства связи (телефонные линии); сети инженерных коммуникаций (водоснабжение, канализации).

Внутренние источники - некачественные технические средства обработки информации; некачественные программные средства обработки информации; вспомогательные средства охраны (охраны, сигнализации, телефонии); другие технические средства, применяемые в компании.

Данная группа источников менее прогнозируема и напрямую зависит от свойств применяемой техники и поэтому требует особого внимания. Угрозы от таких источников могут быть следующие: потеря информации, искажение блокирование, др. Для предотвращения таких угроз необходимо использовать (по возможности) надежную вычислительную и другую необходимую для надежного функционирования технику, лицензионное программное обеспечение (ПО). Также во время анализа, не стоит упускать непредвиденные ошибки пользователей во время эксплуатации техники и ПО. Таки ошибки могут создать слабости, которыми в свою очередь могут воспользоваться злоумышленники. Согласно статистике, 65% потерь - следствие таких ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью.

В связи с тем, что в настоящее время для обработки, обмена и хранения информации в основном используют различные технические средства, съем информации заинтересованными лицами происходит также с помощью специализированных способов и технических средств. Все такие средства можно разделить на два больших класса.

К первому необходимо отнести способы, при помощи которых происходит хищение конфиденциальной информации, обрабатываемой, хранимой и пересылаемой с помощью компьютерных систем.

Ко второму - остальных современных технических средств, к которым можно отнести телефоны, факсимильные аппараты, системы оперативно-командной и громкоговорящей связи, системы звукоусиления, звукового сопровождения и звукозаписи и т.д.

Имеется много физических мест и каналов несанкционированного доступа к информации в сети. Любые дополнительные соединения с другими сегментами или подключение к сети Интернет порождают новые проблемы, в том числе увеличивают возможность поражения сети компьютерными вирусами. Каждое устройство в сети является потенциальным источником электромагнитного излучения из-за неидеальности экранирования соответствующих полей, особенно на высоких частотах. Система заземления не является идеальной и вместе с кабельной системой может служить каналом доступа к информации в сети, в том числе на участках, находящихся вне зоны контролируемого доступа, и потому особенно уязвимых.

Кроме электромагнитного излучения, потенциальную угрозу представляет бесконтактное электромагнитное воздействие на кабельную систему. В случае использования проводных соединений типа коаксиальных кабелей или витых пар, возможно и непосредственное физическое подключение к кабельной системе. Если пароли для входа в сеть стали известны или подобраны, то для таких «пользователей» становится возможным непосредственный вход в сеть. Наконец, возможна утечка информации из хранилища носителей информации, находящихся вне сети.

В настоящее время подавляющее число организаций так или иначе использует для обработки и хранения информации те или иные компоненты информационных систем. Это могут быть как достаточно простые и уже привычные персональные компьютеры, так и более специализированные системы, к примеру, системы хранения данных. В связи с этим в последнее десятилетие стал очень актуальным вопрос об обеспечении безопасности данных в информационных системах, в том числе глобальной сети Интернет и локальных сетях. Необходимо понимать, что угроза целостности информации возникает только в том случае, если компьютер, на котором она хранится, является частью какой-либо локальной сети, либо имеет подключение к сети Интернет.

Технические угрозы:

- ошибки в программном обеспечении.

- DoS- и DDoS-атаки.

- компьютерные вирусы, черви, троянские кони.

- анализаторы протоколов и прослушивающие программы

- («снифферы»).

- атаки типа Man-in-the-Middle

- атаки на уровне приложений

- сетевая разведка

Человеческий фактор:

- уволенные или недовольные сотрудники.

- халатность.

- низкая квалификация.

Ошибки в программном обеспечении - самое узкое место любой сети. Программное обеспечение серверов, рабочих станций, маршрутизаторов и т. д. написано людьми, следовательно, оно практически всегда содержит ошибки. Чем выше сложность подобного программного обеспечения, тем больше вероятность обнаружения в нем ошибок и уязвимостей. Большинство из них не представляет никакой опасности, некоторые же могут привести к трагическим последствиям, таким, как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов (хранение ненужных данных на сервере, использование в качестве плацдарма для атаки и т.п.). Большинство таких уязвимостей устраняется с помощью пакетов обновлений, регулярно выпускаемых производителем программного обеспечения. Своевременная установка таких обновлений является необходимым условием безопасности сети.

DoS-атаки (Denial Of Service - отказ в обслуживании) - особый тип атак, направленный на выведение сети или сервера из работоспособного состояния. При DoS-атаках могут использоваться ошибки в программном обеспечении или легитимные операции, но в больших масштабах (например, посылка огромного количества электронной почты). Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего наличием огромного количества компьютеров, расположенных в большой географической зоне. Такие атаки просто перегружают канал трафиком и мешают прохождению, а зачастую и полностью блокируют передачу по нему полезной информации. Особенно актуально это для компаний, занимающихся каким-либо online-бизнесом, например, торговлей через Internet.

Компьютерные вирусы - старая категория опасностей, которая в последнее время в чистом виде практически не встречается. В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями.

В настоящее время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО, а часто и то, и другое. Теперь на первое место вместо деструктивных функций вышли функции удаленного управления, похищения информации и использования зараженной системы в качестве плацдарма для дальнейшего распространения. Все чаще зараженная машина становится активным участником DDoS-атак. Ниже рассмотрим современную классификацию вредоносных программ.

Типы компьютерных вирусов различаются между собой по следующим основным признакам:

- среда обитания;

- способ заражения.

Под «средой обитания» понимаются системные области компьютера, операционные системы или приложения, в компоненты (файлы) которых внедряется код вируса. Под «способом заражения» понимаются различные методы внедрения вирусного кода в заражаемые объекты.

По среде обитания вирусы можно разделить на:

- файловые;

- загрузочные;

- макро;

- скриптовые.

Файловые вирусы при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС. Они:

- различными способами внедряются в исполняемые файлы (наиболее распространенный тип вирусов);

- создают файлы-двойники (компаньон-вирусы);

- создают свои копии в различных каталогах;

- используют особенности организации файловой системы (link-вирусы).

По способу заражения файлов вирусы делятся на:

- перезаписывающие (overwriting);

- паразитические (parasitic);

- вирусы-компаньоны (companion);

- вирусы-ссылки (link);

- вирусы, заражающие объектные модули (OBJ);

- вирусы, заражающие библиотеки компиляторов (LIB);

- вирусы, заражающие исходные тексты программ.

Сетевые черви различаются между собой способом передачи своей копии на удаленные компьютеры.

Email-Worm - почтовые черви - черви, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском вебсайте).

Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.

Троянские программы класса Backdoor - троянские утилиты удаленного администрирования, являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и так далее. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. - пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.

Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Семейство Trojan-PSW объединяет троянские программы, «ворующие» различную информацию с зараженного компьютера, обычно - системные пароли (PSW - Password-Stealing-Ware). При запуске PSW-троянцы ищут системные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.

Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т. п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.

Семейство Trojan-Clicker - троянские программы, основная функция которых - организация несанкционированных обращений к интернет- ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).

Троянские программы класса Trojan-Downloader предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

Троянские программы класса Trojan-Dropper написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.

Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.

В результате использования программ данного класса хакеры достигают двух целей:

- скрытная инсталляция троянских программ и/или вирусов;

- защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.

Trojan-Proxy - троянские прокси-сервера семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.

Trojan-Spy - шпионские программы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.

Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.

Rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).

Троянцы типа Trojan-Notifier предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина».

Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.

Необходимо учесть, что цели работы таких программ на компьютере могут быть как совершенно безобидными, шутливыми, так и несущими вполне реальную угрозу в виде потери конфиденциальной информации.

К сожалению, в настоящее время продолжают увеличиваться темпы роста численности вредоносных программ, тысячи новых вариантов которых обнаруживаются каждый день. Этот процесс постепенно начинает сопровождаться и ростом их технологической сложности, а также смещением вектора атаки в сторону тех областей информационной безопасности, которые пока не защищены в той же мере, что и традиционные - имеются в виду как технологии Web 2.0, так и мобильные устройства.

По-прежнему происходит реинкарнация старых идей и техник, реализация которых на новом уровне несет совершенно иную степень опасности. Это и заражение загрузочных секторов жестких дисков, и распространение вредоносных программ при помощи съемных накопителей, и заражение файлов.

В группу анализаторов протоколов и «снифферов» входят средства перехвата передаваемых по сети данных - «сниффинга». «Сниффинг» - «прослушивание» сегмента сети. Сниффинг - один из самых популярных методов воровства данных в сети (паролей, имен пользователей, ключей и т.д.) посредством специального программного обеспечения. Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию. Такие средства могут быть как аппаратными, так и программными. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые протоколы работы с сетью (POPS, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро.



4.4 Разработка мер и выбор средств обеспечения информационной безопасности локальной вычислительной сети ОАО «ПЭМЗ» «Молот»

4.4.1 Организационные меры. Политика безопасности

Основным компонентом защиты информации является политика информационной безопасности, представляющая свод правил и положений, определяющих средства и способы обеспечения защиты при обработке информации в автоматизированных системах и сетях различного назначения, используемых на предприятии. В политику включаются следующие этапы работ:

- оценка существующего программно-аппаратного обеспечения;

- приобретение дополнительных программно-технических средств;

- монтаж и наладка систем безопасности;

- тестирование системы безопасности, проверка эффективности средств защиты;

- обучение пользователей и персонала, обслуживающего систему.

От эффективности разработанной политики в наибольшей степени зависит успешность любых мероприятий по обеспечению информационной безопасности. В широком смысле политика безопасности определяется как система документированных управленческих решений по обеспечению информационной безопасности организации. В узком - как локальный нормативный документ, определяющий требования безопасности, систему мер либо порядок действий, а также ответственность сотрудников и механизмы контроля для определенной области обеспечения информационной безопасности.

Общие принципы безопасного функционирования общества подразумевают:

- своевременность обнаружения проблем. (Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на ее бизнес-цели.)

- прогнозируемость развития проблем. (Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.)

- оценка влияния проблем на бизнес-цели. (Организация должна адекватно оценивать степень влияния выявленных проблем на ее бизнес- цели.)

- адекватность защитных мер. (Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз).

- эффективность защитных мер. (Организация должна эффективно реализовывать принятые защитные меры.)

- использование опыта при принятии и реализации решений. (Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.)

- непрерывность принципов безопасного функционирования. (Организация должна обеспечивать непрерывность реализации принципов безопасного функционирования.)

- контролируемость защитных мер. (Организация должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.)

Специальные принципы обеспечения информационной безопасности общества п...