Пояснительная записка (1209920), страница 3
Текст из файла (страница 3)
Рисунок 2.6 – Конструкция окон и размеры створок
2.2.4 Электропитание, освещение и отопление защищаемого помещения
Система электропитания осуществляется через распределительные щиты. Через помещение проходит система центрального водяного отопления, которая состоит из трех алюминиевых радиаторов, находящихся в вентилируемом коробе. Система подвода воды выполнена из полипропиленовых труб, имеющих четыре выхода за пределы помещения.
2.2.5 Охранно-пожарная сигнализации
Помещение оборудовано системой охранно-пожарной сигнализации. Проводные соединительные линии от датчиков пожарной и охранной сигнализации выведены на централизованный пульт оповещения в помещении поста охраны, расположенном на первом этаже.
2.2.6 Характеристика комплекса ВТТСС
В ЗП используются вспомогательные технические средства и системы, представленные в таблице 2.2.
Таблица 2.2 – ВТСС ЗП
| Вид оборудования | Тип | Заводской номер | Дата установки | Класс ТС (ВТСС или ОТСС) |
| База телефонного аппарата Panasonic | KX-TG800RUB | 241-142 | ВТСС | |
| Блок питания Panasonic | PQDV763HJ | 123-673 | ВТСС | |
| Трубка телефонного аппарата Panasonic | KX-TG8061RUB | 525-156 | ВТСС | |
| Стационарный телефон Panasonic | IP Phone KX-HDV100RUB | 732-151 | ВТСС | |
| Потолочный светильник с диодными лампами (5шт. по 18 ламп) | - | б/н | ВТСС | |
| Потолочный светильник с лампами накаливания (4шт.) | - | б/н | ВТСС | |
| Телевизор Panasonic | TX-50EXR700 | 873-156 | ВТСС | |
| ПДУ Panasonic | TX-50PDC700 | 252-614 | ВТСС | |
| Детектор дыма (4шт.) | ИП 212-141М | 408-821 | ВТСС | |
| Датчик движения | REV RITTER ИК | 182-167 | ВТСС | |
| Система приточной вентиляции | DAIKIN VAM-250FA | 162-113 | ВТСС | |
| Компьютер (моноблок) Apple | iMac 27" Retina 5K | 27FKS161 | ВТСС |
2.2.7 Существующие меры ЗИ в защищаемом помещении
В качестве существующих мер защиты можно выделить ряд следующих мер, которые были обнаружен в ходе проведение анализа защищаемого помещения.
В «52 ЦПИ – филиала АО “31 ГПИСС”» введены следующие организационные и технические меры защиты:
-
установлен датчик движения;
-
на окнах установлены датчики разбития;
-
имеется фальшпотолок;
-
дверной тамбур;
-
охранно-пожарная сигнализация, выполненные по проводной схеме.
2.3 Модель вероятного нарушителя информационной безопасности
2.3.1 Описание возможных нарушителей
По наличию права постоянного или разового доступа в контролируемую зону (КЗ) нарушители подразделяются на два типа:
-
внешние нарушители — физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается ЗП;
-
внутренние нарушители — физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается ЗП.
Возможности внешних и внутренних нарушителей существенным образом зависят от действующих в пределах КЗ режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к ЗП.
2.3.1.1 Внешний нарушитель
В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к ЗП.
Исходя из особенностей расположения ВТСС в ЗП Организации, к внешним нарушителям могут относиться:
-
бывшие сотрудники (01);
-
знакомые и родственники работников Организации (02);
-
конкурирующие организации (03).
Предполагается, что лица категории 01-03 могут иметь возможность осуществлять несанкционированный доступ к информации с использованием стандартных средств разведки посредством направленных микрофонов и т.д.
2.3.1.2 Внутренний нарушитель
Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основными являются, реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированных действий.
К внутренним нарушителям могут относиться:
-
обслуживающий и технический персонал Организации и другие сотрудники, не допущенные к информации циркулирующей в ЗП (11);
-
участники переговоров в ЗП (12);
-
лица, обеспечивающие установку, обслуживание средств защиты информации (13).
К нарушителям типа 11 относятся обслуживающий персонал, работники инженерно-технических служб, технический персонал, не допущенные к информации циркулирующей в ЗП. Предполагается, что лица категории 11 имеют доступ в КЗ и ЗП во время выполнении своих обязанностей.
Предполагается, что нарушитель типа 11 может обеспечивать съем информации, используя непосредственное подключение к техническим средствам ЗП.
К нарушителям типа 12 относятся участники переговоров в ЗП.
Предполагается, что нарушитель типа 12:
-
обладает возможностями изменять конфигурацию технических средств ЗП, вносить в неё программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ЗП;
-
располагает информацией, полученной во время участия в конфиденциальных переговорах.
К нарушителям типа 13 относятся лица, обеспечивающие установку, настройку и сопровождение средств защиты информации, предназначенных для обеспечения безопасности информации циркулирующей в ЗП Организации. Предполагаются, что нарушители типа 13 являются сотрудниками организаций-лицензиатов ФСТЭК России и/или ФСБ России.
Предполагается, что нарушитель типа 13:
-
обладает возможностями изменять конфигурацию технических средств ЗП, вносить в неё программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ЗП;
-
обладает полной информацией о технических средствах и конфигурации ЗП;
-
имеет доступ ко всем техническим средствам ЗП;
2.3.2 Предположение об имеющейся у нарушителя информации об
объектах реализации угроз.
В качестве основных уровней знаний нарушителей о ЗП можно выделить следующие:
-
информация о местоположении ЗП;
-
информация о назначении и общих характеристиках ЗП;
-
о характере циркулирующей информации;
-
информация о структуре организации.
В частности, нарушитель может иметь:
-
информацию о технических средствах ЗП;
-
сведения о возможных каналах реализации угроз;
-
информацию о способах реализации угроз.
Предполагается, что лица категории 11 владеют только информацией о назначении и общих характеристиках ЗП, в частности, данные об организации работы и структуре. Предполагается, что уровень знаний данной категории не позволит реализовать угрозы безопасности в ЗП Организации
Предполагается, что лица категории 12 владеют только эксплуатационной информацией, что обеспечивается организационными мерами. С целью создания определенного запаса прочности предполагается, что лица этой категории являются вероятными нарушителями.
Предполагается, что лица категории 13 являются сотрудниками организаций-лицензиатов ФСТЭК и/или ФСБ России и эти лица хорошо знакомы с ответственностью, предусмотренной за реализацию угроз безопасности. Предполагается, что эти лица не заинтересованы в разглашении информации и нарушении безопасности информации при выполнении работ, так как это может повлечь лишение права выполнять лицензируемую деятельность. Предполагается, что к лицам категории 13 применяется комплекс особых организационных мер по их подбору в организацию-лицензиата ФСТЭК и/или ФСБ России.
Предполагается, что лица категории 01 и 02 владеют только информацией о назначении и общих характеристиках ЗП, в частности, данные об организации работы, структуре и используемых технических и программно-технических средствах ЗП, о расположении ВТСС в ЗП. Предполагается, что уровень знаний лиц категории 01 и 02 является достаточным для реализации угроз безопасности информации.
Предполагается, что лица категории 03 владеют только информацией о назначении и общих характеристиках ЗП. Предполагается, что уровень знаний лиц этих категорий недостаточен для потенциальной реализации угроз.
Таким образом, к числу вероятных нарушителей отнесены лица категории 01, 02 и 12.
В связи с изложенным, с целью создания необходимых условий безопасности информации предполагается, что вероятные нарушители обладают информацией, необходимой для подготовки и реализации угроз.
2.3.3 Потенциал нарушителя и возможные цели реализации угроз
В связи с тем, что к числу вероятных нарушителей были отнесены лица категории 01, 02 и 12, которые включают бывших сотрудников, знакомых и родственников работников Организации, наиболее вероятными целями (мотивацией) реализации угроз являются:
-
любопытство или желание самореализации (подтверждение статуса);
-
причинение имущественного ущерба;
-
личные мотивы.
2.3.4 Предположения об имеющихся у нарушителя средствах реализации угроз
Предполагается, что внешний нарушитель имеет доступные в свободной продаже технические средства разведки.
Так как лица категории 11, 13 исключены из списка вероятных нарушителей, определение предположений об имеющихся у нарушителя средствах реализации угроз не производится.
Состав имеющихся у нарушителя средств, которые он может использовать для реализации угроз ИБ, а также возможности по их применению зависят от многих факторов, включая реализованные в Организации конкретные организационные меры, финансовые возможности и компетенцию нарушителей. Поэтому объективно оценить состав имеющихся у нарушителя средств реализации угроз в общем случае практически невозможно.
Поэтому, для определения актуальных угроз и создания СЗИ предполагается, что вероятный нарушитель имеет все необходимые для реализации угроз средства, возможности которых не превосходят возможности аналогичных средств реализации угроз на информацию, циркулирующую в защищаемых помещениях, содержащую сведения, составляющие государственную тайну.
Предполагается, что нарушитель 01, 02 и 12 обладает всеми средствами реализации угроз.
2.4 Оценка защищенности речевой информации от утечки по
акустическому и виброакустическому каналам
Для подбора средств проведем оценку ограждающих конструкций.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
