Разработка системы защиты информации от утечки по техническим каналам, отвечающей всем требованиям руководящих документов (на примере предприятия ООО "Информационные системы и аутсорсинг")

Таким образом, из всех средств защиты и контроля телефонных сетей общего пользования наиболее эффективными по критериям защиты и эксплуатации являются универсальные устройства защиты.

6.2 Методика защиты средств отображения информации

Для защиты ПДн, отображаемых на экранах дисплеев и других средств отображения средств вычислительной техники (СВТ), информационно-вычислительных комплексов (ИВК), входящих в состав ИСПДн, от визуального просмотра, необходимо:

размещать средства визуального отображения таким образом, чтобы исключить случайный просмотр экрана лицом, не являющимся пользователем ИСПДн;

определить правила гашения экрана и блокировки АРМ при неактивности оператора в течение определенного периода времени;

применять шторы (жалюзи) на окнах помещений, в которых установлены СВТ, ИВК.



6.3 Методика защиты сетей переменного тока

Сети переменного тока содержат в себе двойную опасность. Во-первых, это утечка акустической информации. Во-вторых, угроза утечки информативных сигналов средств оргтехники. Как известно из общих принципов защиты информации существуют пассивные и активные методы защиты сети переменного тока от несанкционированного съема информации.

Пассивная защита сети заключается в использовании сетевых помехоподавляющих фильтров. Такие фильтры не пропускают информативные сигналы, возникающие при работе средств оргтехники. Сетевые помехоподавляющие фильтры предназначены для защиты радиоэлектронных устройств и средств вычислительной техники от утечки информации по цепям электропитания. Фильтр применяется для обеспечения электромагнитной развязки по цепям электропитания радиоэлектронных устройств, средств вычислительной техники и электросетей промышленных и других объектов. Кроме того, правильно установленный фильтр также защищает средства оргтехники от внешних помех.

К активным методам защиты сети переменного тока относятся методы, предусматривающие формирование специальными генераторами шумового сигнала, превосходящего по уровню сигналы устройств съёма информации или информативные сигналы.

6.4 Методика защита носителей информации

Материально-вещественные каналы утечки информации - это различные материалы в твердом, жидком и газообразном или корпускулярном (радиоактивные элементы) виде. Очень часто это различные отходы производства, бракованные изделия, черновые материалы и другое.

Об утечке данных по материально-вещественным каналам можно говорить в случае получения информации путём хищения физического носителя или копирования его содержимого с помощью технических устройств. То есть в этом случае речь идет о физическом контакте злоумышленника с носителем.

Т.к. на предприятии существует система криптозащиты информации и допуск к помещениям с защищаемой информации регламентирован уставом Предприятия, то актуальным способом получения ПДн сотрудников или клиентов ООО «ИСА» являются отработанные носители ПДн или другие отходы.

Поэтому следует обратить внимание на физическое уничтожение архивных документов или исполнивших свою функцию других носителей ПДн или другой конфиденциальной информации согласно законодательству.



7. Практическая реализация

7.1 Средства защиты телефонных сетей

Техническое средство защиты телефонных сетей «Гранит-8» - это абонентское устройство защиты информации в телефонных сетях, которое предназначено для защиты информации в телефонной линии от утечки вследствие микрофонного эффекта за счет акустоэлектрических преобразований, а также при высокочастотном навязывании. Устройство защиты телефонных линий представляет собой фильтр, который пропускает сигналы речевого диапазона и ослабляет сигналы высокочастотного навязывания.

Одной из главных особенностей данного устройства защиты телефонных линий является возможность установки на двухпроводные линии; обеспечение защиты информации в телефонной линии от утечки вследствие микрофонного эффекта за счет акустоэлектрических преобразований, а также при высокочастотном навязывании; все элементы схемы устройства защиты телефонных линий защищены электростатическим экраном.

Устройство подключается в разрыв телефонной линии при помощи клемм, расположенных на печатной плате. Крайние клеммы предназначены для подключения телефонных проводов, а центральные - для подключения заземления.

При установке устройства крайне важно правильно его подключить к телефонной линии: к клеммам «вход» подключаются телефонный провод, идущий от телефонного аппарата, а к клеммам «выход» - телефонная линия, идущая к АТС. При неправильном подключении устройства, оно не обеспечивает защиту телефонного аппарата от утечки информации по активному акустоэлектрическому каналу.



Рисунок 6 - «Гранит-8»

Таблица 14 - Технические характеристики «Гранит-8»

Параметр	Значение
Вносимое затухание в полосе частот речевых сигналов 0,3 - 4 кГц при уровне входного сигнала 0,1 В	не менее 65 дБ
Вносимое фильтром затухание на частоте 10 кГц при уровне входного сигнала 0,1 В	не менее 60 дБ
Вносимое фильтром затухание в полосе частот 0,15 - 10 кГц при уровне входного сигнала 5 В	не более 3 дБ
Вносимое фильтром затухание на частоте 50 кГц при уровне входного сигнала 5 В	не менее 6 дБ
Вносимое фильтром затухание на частоте 100 кГц при уровне входного сигнала 5 В	не менее 10 дБ
Макc. ток нагрузки	0,1 А
Средняя наработка на отказ	мин. 5000 ч.
Габариты	57х40х16 мм
Масса	не более 0,3 кг

Схема подключения устройства «Гранит-8» представлена в приложении Б, рисунок Б1.

Сертификат ФСТЭК 604/2 от 07.04.2005 (действителен по 07.04.20). В открытом доступе отсканированной копии сертификата не имеется.



7.2 Средства защиты сетей переменного тока

Фильтр сетевой помехоподавляющий марки ФП-6МА (40А) является пассивным средством защиты информации. Данная модель предотвращает информационные утечки по трехфазным цепям электропитания с номинальным током до 40 А, также защищает оргтехнику от внешних помех. Фильтр помехоподавляющий марки ФП-6МА (40А) обеспечивает ослабление любых сигналов в частотном диапазоне определённом в РД ФСТЭК России.

Фильтр применяется для обеспечения электромагнитной развязки по цепям электропитания радиоэлектронных устройств, средств вычислительной техники и электросетей промышленных и других объектов.

ФП-6МА (40А) необходимо включать в сеть с напряжением 220В с частотой 50Гц без соблюдения полярности. Для уменьшения связи между входом и выходом элементы фильтра размещены в трех экранированных отсеках, которые образованы стенками и шасси изделия. Устройство выполнено в корпусе из оцинкованной стали. Все элементы смонтированы в электростатическом экране. Режим работы изделия автоматический, круглосуточный.

Рисунок 7 - ФП-6МА (40А)



Таблица 15 - Технические характеристики ФП-6МА (40А)

Параметр	Значение
Количество проводов	4
Количество фаз	3
Номинальный ток	40 А
Виброопоры	отсутствуют
Климатическое исполнение соответствует	ГОСТ 15150-69 (группа исполнения 1)
Кабель экранированный нагрузочный (5м)	2 шт.
Габариты фильтра	570х210х80 мм
Габариты упаковки фильтра	600х240х120 мм
Габариты упаковки кабеля	500х210х140 мм
Масса фильтра	не более 8 кг
Масса кабеля	не более 6 кг

Данный фильтр будет установлен в серверное помещение т.к. потребление тока в нём выше, чем в обычных помещениях.

Сертификат соответствия ФСТЭК приведён в приложении Г, рисунок Г1.

Для защищаемого помещения и помещения, где происходит обработка ПДн будет достаточно менее мощного фильтра - ФП-6. ФП-6 аналогичен ФП-6МА (40А).

Рисунок 8 - ФП-6 (20А)



Таблица 16 - Технические характеристики ФП-6 (20А)

Параметр	Значение
Количество проводов	4
Количество фаз	3
Номинальный ток	40 А
Виброопоры	отсутствуют
Климатическое исполнение соответствует	ГОСТ 15150-69 (группа исполнения 1)
Кабель экранированный нагрузочный (5м)	2 шт.
Габариты фильтра	570х210х80 мм
Габариты упаковки фильтра	600х240х120 мм
Габариты упаковки кабеля	500х210х140 мм
Масса фильтра	не более 8 кг
Масса кабеля	не более 6 кг

Схемы расположения устройств ФП-6МА (40А) и ФП-6 (20А) представлены в приложении А.

Схема подключения устройств представлена в приложении Б, рисунок Б2.

Сертификат соответствия ФСТЭК приведён в приложении Г2.

7.3 Организационные мероприятия

7.3.1 Правила доступа в помещения

7.3.1.1 Правила доступа в помещения, в которых ведется обработка персональных данных

Доступ посторонних лиц в помещения, в которых ведется обработка персональных данных, а также хранятся материальные носители персональных данных и резервные копии персональных данных, должен осуществляется только ввиду служебной необходимости и под контролем сопровождающего лица, из числа сотрудников, допущенных к обработке персональных данных.

При этом должны быть приняты меры, исключающие ознакомление посторонних лиц с персональными данными. Пример: мониторы повернуты в сторону от посетителей, документы убраны в стол, либо находятся в непрозрачной папке (накрыты чистыми листами бумаги).

При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, а также ситуаций, которые могут создавать угрозу жизни и здоровью граждан, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться доступ в помещения, в которых ведется обработка персональных данных лиц из числа сотрудников Предприятия, не допущенных к обработке персональных данных.

В нерабочее время все окна и двери в помещениях (в том числе в смежные помещения), в которых ведется обработка персональных данных, должны быть надежно закрыты, материальные носители персональных данных должны быть убраны в запираемые шкафы (сейфы), компьютеры выключены либо заблокированы.

Доступ сотрудников в помещения, в которых ведется обработка персональных данных в нерабочее время, допускается по распоряжению руководства Предприятия.

7.3.1.2 Правила доступа в серверные помещения

Доступ в серверные помещения, в которых ведётся обработка персональных данных осуществляется в соответствии со списком, утверждённым на Предприятии.

Уборка серверных помещений происходит только под контролем лица, из указанных в утверждённом списке.

Доступ в серверные помещения посторонних лиц допускается по согласованию с ответственным за обеспечение безопасности информационных систем персональных.

Нахождение в серверных помещениях посторонних лиц без сопровождающего запрещено.

При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, а также других ситуаций, которые могут создавать угрозу жизни и здоровью граждан, доступ в серверные помещения, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться без согласования с ответственным за обеспечение безопасности информационных систем персональных.

Доступ сотрудников в серверные помещения в нерабочее время допускается по распоряжению руководства Предприятия.

7.3.1.3 Правила доступа в спецпомещения

Спецпомещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к криптосредствам. Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.

Расположение спецпомещения, специальное оборудование и организация режима в спецпомещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

Для предотвращения просмотра извне спецпомещений их окна должны быть защищены.

Спецпомещения должны быть оснащены входными дверьми с замками. Должно быть обеспечено постоянное закрытие дверей спецпомещений на замок и открытие только для санкционированного прохода, а также опечатывание спецпомещений по окончании рабочего дня или оборудование спецпомещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии спецпомещений.

Доступ в спецпомещения осуществляется в соответствии с перечнем лиц, имеющих право доступа в помещения, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ, утверждённым приказом Директора.

7.3.2 Правила обработки персональных данных

7.3.2.1 Порядок обработки ПДн

Все персональные данные субъектов Предприятие получает от них самих либо от их законных представителей.

Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации на основании согласия субъекта персональных данных, кроме случаев, предусмотренных Федеральным законом № 152-ФЗ. Форма согласия утверждается приказом Директора Предприятия. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).

Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.

Получение персональных данных субъекта у третьих лиц, возможно только при уведомлении субъекта об этом заранее и с его письменного согласия. Форма согласия утверждается приказом Директора Предприятия. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).

Персональные данные субъектов Предприятия обрабатываются в структурных подразделениях в соответствии с исполняемыми функциями.

Доступ к персональным данным, обрабатываемым без использования средств автоматизации, осуществляется в соответствии с утвержденным списком.

Доступ к персональным данным, обрабатываемым в информационных системах персональных данных, осуществляется в соответствии со списком, утверждённым в порядке, определяемом на Предприятии.

Уполномоченные лица, допущенные к персональным данным субъектов Предприятия, имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностной инструкцией уполномоченных лиц.

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

Персональные данные при такой их обработке, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

Персональные данные подлежат уничтожению либо обезличиванию в следующих случаях:

1) достижения целей обработки или в случае утраты необходимости в их достижении;

2) отзыва согласия субъекта персональных данных на обработку персональных данных;

3) представления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

4) выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя и невозможности обеспечить правомерную обработку персональных данных.

Хранение материальных носителей персональных данных осуществляется в специально оборудованных шкафах и сейфах. Места хранения определяются приказом об утверждении мест хранения материальных носителей персональных данных Предприятия.

В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, предприятие вносит в них необходимые изменения, а также уведомляет субъекта о внесенных изменениях.

Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами Российской Федерации.

Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента отзыва согласия субъекта персональных данных на обработку персональных данных.

Уничтожение персональных данных осуществляется в срок, не превышающий 7 рабочих дней с момента представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя и невозможности обеспечить правомерную обработку персональных данных уничтожение персональных данных осуществляется в срок, не превышающий 10 рабочих дней с момента выявления неправомерной обработки персональных данных. Решение о неправомерности обработки персональных данных и необходимости уничтожения персональных данных принимает ответственный за организацию обработки персональных данных, который доводит соответствующую информацию до руководства. Предприятие уведомляет субъекта персональных данных или его законного представителя об уничтожении персональных данных.

Уничтожение персональных данных осуществляет комиссия в составе сотрудников структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость уничтожения персональных данных под контролем руководителя этого структурного подразделения.

Способ уничтожения материальных носителей персональных данных определяется комиссией. Допускается применение следующих способов:

1) сжигание;

2) шредирование (измельчение);

3) передача на специализированные полигоны (свалки);

4) химическая обработка.

При этом составляется акт, подписываемый председателем комиссии, проводившей уничтожение материальных носителей персональных данных

При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае комиссия Предприятия должна присутствовать при уничтожении материальных носителей персональных данных. При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей персональных данных, подлежащих уничтожению, в специализированную организацию.

Уничтожение полей баз данных Предприятия, содержащих персональные данные субъекта, выполняется по заявке руководителя структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.

Уничтожение осуществляет комиссия, в состав которой входят лица, ответственные за техническое обслуживание автоматизированных систем, которым принадлежат базы данных.

Уничтожение достигается путем затирания информации на носителях информации (в том числе и резервных копиях). При этом составляется акт, утверждаемый лицом, ответственным за техническое обслуживание автоматизированных систем, которому принадлежат базы данных.

Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами.

При отсутствии технической возможности осуществить уничтожение персональных данных, содержащихся в базах данных, допускается проведение обезличивания путем перезаписи полей баз данных. Перезапись должна быть осуществлена таким образом, чтобы дальнейшая идентификация субъекта персональных данных была невозможна.

Контроль выполнения процедур уничтожения персональных данных осуществляет ответственный за организацию обработки персональных данных.

Обработка биометрических персональных данных (фотография, используемая для идентификации, отпечатки пальцев, изображение сетчатки глаза и т.д.), в соответствии со статьей 11 Федерального закона № 152-ФЗ, допускается при наличии согласия субъекта. Форма согласия утверждается приказом Директора Предприятия. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).

Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных.

Сотрудники должны быть ознакомлены под подпись с настоящим Положением и другими документами Предприятия, устанавливающими порядок обработки персональных данных субъектов, а также права и обязанности в этой области.

7.3.2.2 Работа с обезличенными данными

Порядок обезличивания включает в себя замену идентифицирующей информации о субъекте (например: фамилию, имя и отчество) на произвольный код (далее - идентификатор).

Обезличивание должно проводится таким образом, чтобы определить принадлежность персональных данных конкретному субъекту персональных данных было невозможно без использования дополнительной информации.

В случае, если обезличенные персональные данные используются в статистических или иных исследовательских целях, сроки обработки и хранения персональных данных устанавливаются руководством Предприятия исходя из служебной необходимости, и получение согласия субъекта на обработку его персональных данных не требуется на основании пункта 9 части 1 статьи 6 Федерального Закона № 152-ФЗ.

Если обезличенные персональные данные используются в целях продвижения товаров, работ, услуг на рынке, или в целях политической агитации, Предприятие обязано получить согласие субъекта персональных данных на подобную обработку.

Методы и способы защиты информации от несанкционированного доступа для обеспечения безопасности обезличенных персональных данных в информационных системах и целесообразность их применения определяются ответственным за организацию обработки персональных данных Предприятия индивидуально для каждой информационной системы персональных данных.

7.3.2.3 Передача персональных данных третьим лицам

При обработке персональных данных субъекта должны соблюдаться следующие требования:

1) Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта;

2) Предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности в отношении этих данных.

При необходимости трансграничной передачи персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, Предприятие запрашивает согласие субъекта в письменной форме. Форма согласия утверждается приказом Директора Предприятия. Допускается совмещение формы согласия субъекта с типовой формой документов, содержащих персональные данные субъекта (например: анкеты). Допускается совмещение формы согласия субъекта с другими формами согласий.



8. Безопасность и экологичность проекта

8.1 Значение и задачи безопасности жизнедеятельности

Значение охраны труда заключается в содействии росту эффективности общественного производства путем непрерывного совершенствования и улучшения условий труда, повышения его безопасности, снижения производственного травматизма и заболеваемости.

В соответствии с Федеральным законом от 30.03.1999 №52-ФЗ «О санитарно-эпидемиологическом благополучии населения» основными задачами предприятия в области безопасности жизнедеятельности являются:

разработка и проведение санитарно-противоэпидемических (профилактических) мероприятий

обеспечение безопасности для здоровья человека выполняемых работ и оказываемых услуг, а также продукции производственно-технического назначения при производстве, транспортировке, хранении, реализации населению;

осуществление производственного контроля, в том числе посредством проведения лабораторных исследований и испытаний, за соблюдением санитарно-эпидемиологических требований и проведением санитарно-противоэпидемических (профилактических) мероприятий при выполнении работ и оказании услуг, а также при производстве, транспортировке, хранении и реализации продукции;

проведение работы по обоснованию безопасности для человека новых видов продукции и технологии ее производства, критериев безопасности и (или) безвредности факторов среды обитания и разработка методов контроля за факторами среды обитания;

своевременное информирование населения, органов местного самоуправления, органов, осуществляющие федеральный государственный санитарно-эпидемиологический надзор, об аварийных ситуациях, остановках производства, о нарушениях технологических процессов, создающих угрозу санитарно-эпидемиологическому благополучию населения;

осуществление гигиеническое обучение работников.

8.2 Анализ условий труда и мероприятия по защите от воздействия вредных производственных факторов

Согласно Федеральному закону от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда» условия труда по степени вредности и (или) опасности подразделяются на четыре класса - оптимальные, допустимые, вредные и опасные условия труда.

Сотрудники ООО «ИСА» работают 5 рабочих дней по 8 часов каждый. Большая часть рабочего времени сотрудников проходит за персональным компьютером, что требует от них значительных умственных усилий.

Помещения, в которых работают сотрудники, имеют как искусственное, так и естественное освещение. Искусственное освещение осуществляется с помощью люминесцентных ламп типа ЛБ или ЛД.

На мониторы не падают блики солнца, что позволяет комфортно считывать информацию - рабочие столы расположены таким образом, что мониторы боковой стороной повернуты к световым проемам.

Для поддержания параметров микроклимата помещения оборудованы системами центрального отопления и локальным кондиционированием.

Шумы, которые создает системный блок, источник бесперебойного питания и принтер, не превышает нормативных значений - 80 дБ(А).

Сервер находится в отдельном помещении.

Данные факторы соответствуют нормам указанным в СанПиН 1.2.3685-21 «Гигиенические нормативы и требования к обеспечению безопасности и (или) безвредности для человека факторов среды обитания».

Для оценки напряженности руководствуемся стандартом P 2.2.2006-05 «Руководство по гигиенической оценке факторов рабочей среды и трудового процесса. Критерии и классификация условий труда», в котором можно выделить следующие основные показатели напряженности труда:

интеллектуальные нагрузки;

сенсорные нагрузки;

эмоциональные нагрузки;

монотонность нагрузок;

режим работы.

Таблица 17 - Оценка напряженности труда

№ п/п	Показатель напряженности трудового процесса	Результат обследования	Класс условий труда
1 Интеллектуальные нагрузки
1.1	Содержание работы	Решение сложных задач с выбором по известным алгоритмам (работа по серии инструкций)	3.1
1.2	Восприятие сигналов (информации) и их оценка	Восприятие сигналов с последующей коррекцией действий и операций	2
1.3	Распределение функций по степени сложности задания	Обработка, выполнение задания и его проверка	2
1.4	Характер выполняемой работы	Работа по установленному графику с его коррекцией	2
2 Сенсорные нагрузки
2.1	Длительность сосредоточенного наблюдения (% от времени смены)	до 65	3.1
2.2	Плотность сигналов (световых, и звуковых) и сообщений в среднем за 1 час работы	до 150	2
2.3	Число производственных объектов одновременного наблюдения	до 4	1
2.4	Размер объекта различение в мм при длительности сосредоточенного наблюдения (% от времени смены)	1.1 мм (более 50 %)	2
2.5	Работа с оптическими приборами при длительности сосредоточенного наблюдения (% от времени смены)	Не характерна	1
2.6	Наблюдение за экранами видеотерминалов (часов в смену)	до 6 часов	3.1
2.7	Нагрузки на слуховой анализатор (при производственной необходимости восприятия речи или дифференцированных сигналов)	Разборчивость слов и сигналов от 100 до 90%. Помехи отсутствуют	1
2.8	Нагрузки на голосовой аппарат (суммарное количество часов, наговариваемое в неделю)	до 10	1
3 Эмоциональные нагрузки
3.1	Степень ответственности за результат собственной деятельности. Значимость ошибки	Несет ответственность за функциональное качество вспомогательных работ (заданий). Влечет за собой дополнительные усилия со стороны вышестоящего руководства.	2
3.2	Степень риска для собственной жизни	Исключена	1
3.3	Степень ответственности за безопасность других лиц	Исключена	1
3.4	Количество конфликтных ситуаций, обусловленных профессиональной деятельностью, за смену	Отсутствуют	1
4 Монотонность нагрузки
4.1	Число элементов (приемов), необходимых для реализации простого задания или многократно повторяющихся операциях	более 10	1
4.2	Продолжительность (в сек) выполнения простых производственных заданий или повторяющихся операций	более 100	1
4.3	Время активных действий (в % к продолжительности смены). В остальное время - наблюдение за ходом производственного процесса	более 50	1
4.4	Монотонность производственной обстановки (время пассивного наблюдения за ходом техпроцесса в % от времени смены)	до 50	1
5 Режим работы
5.1	Фактическая продолжительность рабочего дня	8 часов	2
5.2	Сменность работы	Односменная работа без ночной смены	1
5.3	Наличие регламентированных перерывов и их продолжительность	Перерывы регламентированы, недостаточной продолжительности: 5% рабочего времени	2
Вывод	2 (Допустимый)

Внедрение технических средств защиты не оказывает значительных негативных воздействий на человека и факторы рабочего процесса. Все средства защиты соответствуют ГОСТ Р 51318.22-99 «Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационных технологий. Нормы и методы испытаний».

Разработанные организационные мероприятия по защите ПДн являются легко исполнимыми и дополнительно не нагружают сотрудника относительно его основного вида деятельности.



8.3 Обеспечение электробезопасности

Технические способы и средства защиты, обеспечивающие электробезопасность, устанавливаются с учетом приказа Министерства труда и социальной защиты Российской Федерации от 15 декабря 2020 года №903н и ГОСТ 12.1.019-2009 «Общие требования и номенклатура видов защиты».

В ООО «ИСА» электробезопасность обеспечивается в соответствии с ПУЭ 7 «Правила устройства электроустановок. Издание 7». Все помещения относятся к помещениям без повышенной опасности, потому что отсутствуют условия, создающие повышенную или особую опасность.

Таблица 18 - Классификация помещений по опасности поражения электрическим током

Подразделение организации (помещение)	Категория помещения по взрывоопасности и пожароопасности	Класс зоны
Кабинет директора	1)Влажность - 40-70 %. 2)Температура: Холодный период - 21-25°С. Теплый период - 22-27°С. 3)Возможности одновременного прикосновения человека к имеющим соединение с землей металлоконструкциям зданий, технологическим аппаратам, механизмам и т.п., с одной стороны, и к металлическим корпусам электрооборудования - с другой - нет. 4)Химически активной или органической среды - нет.	Помещение без повышенной опасности, в которых отсутствуют условия, создающие повышенную или особую опасность.
Кабинет заместителя директора
Административно-хозяйственный отдел
Бухгалтерский отдел
Коммерческий отдел
Юридический отдел
Департамент управления проектами
Департамент развития проектов
Кадровый отдел
Технический департамент
Отдел системного администрирования
Режимно-секретный отдел

В связи с тем, что установленные средства защиты соответствуют ГОСТ 12.2.007.0-75 «Система стандартов безопасности труда. Изделия электротехнические. Общие требования безопасности» условия электробезопасности остаются неизменными.

8.4 Пожарная безопасность

Согласно Федеральному закону от 22.07.2008 № 123-ФЗ «Технический регламент о требованиях пожарной безопасности», необходимо определить категории помещений по взрывоопасности и пожароопасности

В таблице 20 приведено категорирование помещений и классификация зон по взрывоопасности и пожароопасности

Таблица 19 - Категории помещений и класс зон по взрывоопасности и пожароопасности

Подразделение организации (помещение)	Категория помещения по взрывоопасности и пожароопасности	Класс зоны
Выделенное помещение	B1-B4	П-IIа
Помещение службы кадров	B1-B4	П-IIа
Серверное помещение	B1-B4	П-IIа

По результатам анализа таблицы 20 можно сделать вывод, что вероятность возникновения пожаров ООО «ИСА» находится на низком уровне, а установленные СЗИ на неё никак не влияют.

8.5 Безопасность жизнедеятельности в чрезвычайных ситуациях

Чтобы обеспечить надежную защиту сотрудников организации при чрезвычайных ситуациях (ЧС), применяется комплекс социально-экономических, организационных и лечебно-профилактических мероприятий. На предприятии имеется документ «План действий по предупреждению и ликвидации ЧС», в котором предусматриваются объемы, сроки и порядок выполнения мероприятий по предупреждению и снижению последствий катастроф и стихийных бедствий, проведению аварийно-спасательных и других неотложных работ; привлечению сил и средств при возникновении ЧС и ликвидации их последствий.

8.6 Охрана окружающей среды

В связи с тем, что в проекте рассматривается предприятие, ведущее свою деятельность в сфере информационных технологий и не имеет промышленное производство или иных загрязняющих факторов, рассмотрение количества выбросов вредных веществ предприятия нецелесообразно.

Основную угрозу окружающей среде представляет подлежащие утилизации аппаратные средства, состоящие из периферийной техники и ЭВМ, а именно:

устаревшие или вышедшие из строя, без возможности повторного использования, средства обеспечения ИБ (программно-аппаратные комплексы средства аппаратной защиты);

устаревшие или вышедшие из строя, без возможности повторного использования, программно-аппаратные средства вычислительной техники (МЭ, коммутаторы, маршрутизаторы).

Утилизация компонентов средств защиты должна производиться с привлечением уполномоченных организаций на специализированных предприятиях по переработке вторичного сырья.



9. Экономическое обоснование

9.1 Цели и задачи экономического обоснования

Экономическое обоснование - документ, в котором представлена информация, из которой выводится целесообразность (или нецелесообразность) создания продукта или услуги. Экономическое обоснование содержит анализ затрат и результатов проекта.

Цель экономического обоснования - доказать и обосновать экономическую эффективность разработки системы защиты персональных данных (СЗПДн) в информационной системе предприятия.

С точки зрения информационной безопасности экономическая эффективность - это соотношение расходов на средства защиты информации с величиной возможного ущерба предприятию до и после внедрения системы обеспечения защиты информации.

Экономическое обоснование внедрения СЗПДн в информационной системе предприятия включает следующие этапы:

расчет стоимости внедрения СЗПДн;

определение ущерба до и после внедрения СЗПДн;

расчет окупаемости.

9.2 Расчет стоимости внедрения системы защиты ПДн

Для того, чтобы рассчитать общие затраты на проектирование и разработку системы защиты персональных данных сотрудников и приобретение программно-аппаратных средств, воспользуемся формулой (1):

где К1 - производственные затраты, руб.;

К2 - капитальные вложения, руб.

К производственным затратам относится стоимость разработки СЗПДн.

Таблица 20 - Стоимость разработки СЗПДн

№ п/п	Наименование	Цена, руб.
Предпроектный этап
1	Предпроектное обследование	7 500
2	Разработка аналитического обоснования	12 500
3	Разработка технического задания	5 000
Стадия проектирования
4	Разработка технического проекта	16 000
5	Разработка проектной документации	5 000
Стадия внедрения
6	Установка и настройка	100 000
7	Тестирование работы	30 000
Итого:	176 000

По формуле (3) оценим производственные затраты:

где С1 - предпроектное обследование информационной системы

С2 - разработка аналитического обоснования;

С3 - разработка технического задания;

С4 - разработка технического проекта;

С5 - разработка проектной документации;

С6 - установка и настройка программно- аппаратных средств;

С7 - тестирование системы.

Стоимость и количество необходимых СЗИ для реализации проектного решения представлены в таблице 21.



Таблица 21 - Прайс-лист проекта

Наименование	Кол-во	Стоимость ед. (руб.)	Общая стоимость (руб.)
Фильтр сетевой помехоподавляющий ФП-6	2	43050	86100
Фильтр сетевой помехоподавляющий ФП-6МА	1	62750	62750
Гранит-8	1	2600	2600
Итого	151450

Таким образом, общие затраты на проектирование и разработку СЗПДн в ООО «ИСА» по формуле (2) равны:

9.3 Определение ущерба до и после внедрения системы защиты ПДн

Определим ущерб до и после разработки СЗПДн в информационной системе ООО «ИСА», в соответствии открытой документацией ФСТЭК и открытой документацией предприятия.

Таблица 22 - Ущерб до и после внедрения системы защиты

Риск	Вероятность возникновения инцидента до внедрения СЗИ	Ущерб до внедрения СЗИ, руб.	Вероятность возникновения инцидента после внедрения СЗИ	Ущерб после внедрения СЗИ, руб.
Подслушивание/ запись разговоров внешним нарушителем	0,4	620 000	0,1	70 000
Подслушивание/ запись разговоров внутренним нарушителем	0,5	680 000	0,15	50 000
Несанкционированное наблюдение, съемка объектов/ изображений с экранов мониторов внешним нарушителем	0,3	320 000	0,1	36 000
Несанкционированное наблюдение, съемка объектов/ изображений с экранов мониторов внутренним нарушителем	0,4	220 000	0,2	60 000
Съем информативного сигнала с цепей электропитания 220 В внешним нарушителем	0,3	220 000	0,2	36 000
Съем информативного сигнала с цепей электропитания 220 В внутренним нарушителем	0,4	320 000	0,15	78 000
Несанкционированное копирование/ изменение/ уничтожение носителей информации внешним нарушителем	0,4	320 000	0,1	50 000
Несанкционированное копирование/ изменение/уничтожение носителей информации внутренним нарушителем	0,6	500 000	0,1	64 000
Итого:

9.4 Расчет окупаемости

По формуле (4) рассчитаем за год ценность защитных мер (Цз):

,

где А1 ? ущерб до внедрения, руб.;

А2 ? ущерб после внедрения, руб.;

Кобщ ? общие затраты на ИС.

Ценность защитных мер с учетом формулы (4) за год равна:

По формуле (5) рассчитаем срок окупаемости проекта

,

где Kобщ - общие затраты на разработку и построение, руб;

Цз - ценность защитных мер за год, руб;

Ток - срок окупаемости.

Срок окупаемости проекта с учетом формулы (5) равен:

Таким образом, проект СЗПДн в информационной системе окупится через 1 год и 3 месяца.



Заключение

В ходе выполнения выпускной квалификационной работы были изучены основные бизнес-процессы деятельности ООО «ИСА», определены категории ПДн и способы их хранения и обработки, выявлены информационные системы организации.

Также был определен уровень защищенности персональных данных в информационных системах предприятия и произведена оценка потенциалов нарушителей информационной безопасности, выявлены актуальные угрозы.

Для разработки проекта системы защиты были выбраны средства защиты информации от утечек по ТКУИ, отвечающие всем требованиям руководящих документов, а также разработана ОРД по обработке ПДн, уничтожению материально-вещественных носителей и доступу в защищаемые помещения

Было произведено технико-экономическое обоснование разработанного проекта, определен срок окупаемости - 1 год и 3 месяца.

Рассмотрены вопросы обеспечения безопасности жизнедеятельности, выполнен анализ условий труда и произведена оценка напряженности труда. При условии внедрения предложенного проекта системы защиты класс напряженности труда остался прежним 2 (допустимый).

В результате выпускной квалификационной работы был разработан проект экономически эффективной и отвечающей всем требованиям системы защиты персональных данных от утечек по техническим каналам на примере ООО «Информационные системы и аутсорсинг»



Список используемых источников

1. Бузов Г.А. Защита информации ограниченного доступа от утечки по техническим каналам. - М.: Горячая линия - Телеком, 2015. - 586 с.

2. Ворона В.А., Костенко В.О. Computational nanotechnology. Способы и средства защиты информации от утечки по техническим каналам. - М: Издательский дом «Юр-ВАК», №3 с. 208-223, 2016.

3. Бирюков А.А. Информационная безопасность: защита и нападение - 2-е изд., перераб. и доп. - М: ДМК Пресс, 2017 - 433 с.

4. Хорев А.А. Техническая защита информации: учеб. пособие для студентов вузов. В 3 т. Т. 1. Технические каналы утечки информации. - М.: НПЦ «Аналитика», 2008. - 436 с.

5. Зайцев А.П., Мещеряков Р. В., Шелупанов А. А. Технические средства и методы защиты информации. Учебник для вузов - 7-е изд., испр. - М.: Горячая линия - Телеком, 2012. - 442 с.

6. Дворянкин С.В., Макаров Ю.К., Хорев А.А. Обоснование критериев эффективности защиты речевой информации от утечки по техническим каналам - Защита информации. Инсайд. 2007. - № 2 (14). - С. 18-25.

7. Скрипник Д. А. Общие вопросы технической защиты информации / Д.А. Скрипник. - 2-е изд., испр. - М: Национальный Открытый Университет «ИНТУИТ», 2016. - 425 с.

8. Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам. Гостекомиссия России. - М.: 2002 г.

9. Специальные требования и рекомендации по технической защите конфиденциальной информации. Гостекомиссия России. - М.: 2002 г.



Приложения

Приложение А

Организационная структура ООО «ИСА»

Рисунок А.1 - Схема организационной структуры ООО «ИСА»

Приложение Б

Схема расположения средств защиты в выделенном помещении

Рисунок Б.1 - Схема расположения средств защиты в выделенном помещении



Приложение В

Схемы подключения средств защиты

Рисунок В.1 - Схема подключения «Гранит-8»

Рисунок В.2 - Схема подключения ФП-6 и ФП-6МА



Приложение Г

Актуальность угроз безопасности информации

Таблица Г.1 - Актуальность угроз безопасности информации

УБИ	Наименование УБИ	Объект воздействия	Вероятность реализации угрозы	Показатель опасности угрозы для ИС	Возможность реализации угрозы	Актуальность угрозы	Примечание
1. Угрозы, не являющиеся атаками
1.4. Ошибочные действия
-	Угроза разглашения конфиденциальной информации пользователями ИС	Защищаемая информация	низкая (2)	Низкий	Средняя (0,6)	Актуальная	Угроза является актуальной, т.к. возможно разглашение конфиденциальной информации отдельными сотрудниками
-	Угроза разглашения конфиденциальной информации сотрудниками подрядных организаций	Защищаемая информация	маловероятно (0)	Низкий	Средняя (0,6)	Не актуальная	Угроза является неактуальной, т.к. требования о неразглашении конфиденциальной информации подрядными организациями закрепляются в заключаемых контрактах
-	Угроза утраты мобильных технических средств пользователями ИС или их передачи лицам, не имеющих права доступа к обрабатываемой на них информации	Мобильное техническое средство	низкая (2)	Низкий	Средняя (0,6)	Актуальная	Угроза является актуальной, т.к. возможна передача мобильных технических средств с информацией лицам, не имеющим права доступа к ней отдельными сотрудниками, либо вследствие халатности отдельных сотрудников
-	Угроза передача носителей информации лицам, не имеющих права доступа к хранимой на них информации	Носитель информации	средняя (5)	Средний	Высокая (0,75)	Актуальная	Угроза является актуальной, т.к. возможна передача носителей информации лицам, не имеющим права доступа к ней отдельными сотрудниками
УБИ.156	Угроза утраты носителей информации	Носитель информации	низкая (2)	Низкий	Средняя (0,6)	Актуальная	Угроза является актуальной, т.к. вследствие халатности отдельных сотрудников
УБИ.182	Угроза физического устаревания аппаратных компонентов	Аппаратное средство	маловероятно (0)	Низкий	Средняя (0,5)	Не актуальная	Угроза является неактуальной, т.к. аппаратное обеспечение своевременно обновляется
2. Угрозы, являющиеся атаками
2.1. Угрозы утечки информации по техническим каналам
-	Угроза утечки акустической информации	Защищаемая информация, аппаратное обеспечение	средняя (5)	Низкий	Средняя (0,5)	Актуальная	Несмотря на то, что в ОРД Предприятия установлен запрет на озвучивание защищаемой информации, в том числе по средствам внутренней связи, вероятность реализации данной угрозы имеется, т.к. возможны случаи нарушения требований ОРД отдельными сотрудниками.
-	Угроза утечки видовой информации	Защищаемая информация	средняя (5)	Средний	Высокая (0,75)	Актуальная	Угроза признана актуальной, т.к. имеются помещения, в которых средства отображения информации распложены так, что есть возможность несанкционированного просмотра защищаемой информации.
-	Угроза утечки информации по каналу ПЭМИН	Аппаратное обеспечение	низкая (2)	Низкий	Средняя (0,5)	Не актуальная	Угроза является неактуальной, т.к. отсутствуют объективные предпосылки для реализации угроз данного класса (применение подобных средств разведки экономически необоснованно) и неактуальностью категорий нарушителя, чей потенциал позволяет реализовать данную угрозу



Приложение Д

Сертификаты соответствия

Рисунок Д.1 - Сертификат соответствия ФП-6МА (40А)



Рисунок Д.2 - Сертификат соответствия ФП-6 (20А)

Размещено на Allbest.ru

...