48312 (588538), страница 6
Текст из файла (страница 6)
Фирмы, предоставляющие другим организациям услуги охраны собственности, берут на себя огромную ответственность. А именно частное охранное предприятие берет на себя материальную ответственность перед теми фирмами, которые являются его клиентами. Утечка информации из частного охранного предприятия может нанести серьезный урон не только ему, но и клиентам.
Потенциальными злоумышленниками могут быть и конкуренты, и недобросовестные клиенты, и сотрудники фирмы.
Если угроза будет исходить от лиц, не работающих в данной организации, то возможность проникновения в выделенное помещение исключается, во-первых, на первом этаже расположен пост охраны, во-вторых, в приемной перед кабинетом директора находится приемная, в которой постоянно находится секретарь. К тому же проникновение в выделенное помещение будет контролироваться средствами охраны.
Нередко для достижения своих целей заинтересованные лица прибегают к помощи сотрудников, работающих на предприятии, ведь они знают систему организации изнутри. Для этого злоумышленники чаще всего используют подкуп и убеждение, известны так же случаи запугивания сотрудников.
Для исключения возможности несанкционированного доступа к данным сотрудниками организации на двери выделенного помещения установлен электронный считыватель.
Модель проникновения вероятного злоумышленника в выделенное помещение представлена в приложении 4.
Таким образом, при построении системы защиты следует учитывать, что основную часть нарушителей (около 70 %) будут составлять сотрудники фирмы, но необходимо также исключить проникновение посторонних лиц в контролируемую зону.
2.3 Разработка проекта комплексной системы защиты информации частного охранного предприятия ООО «ОСА»
Комплексная система защиты информации включает в себя следующие основные элементы:
-
правовую защиту информации;
-
организационную защиту информации;
-
инженерно-техническую защиту информации;
-
программно-аппаратную защиту информации;
-
криптографическую защиту информации.
Разработка комплексной системы защиты информации подразумевает тщательную отработку каждого элемента.
Правовые меры защиты информации обладают рядом признаков, которые отличают их от прочих видов защиты данных. С одной стороны, юридические меры выполняют охранительную функцию. Они формируют отношение субъектов оборота информации к нормам и правилам Закона. С другой стороны – компенсационная функция: в случае нанесения вреда законному владельцу информации Закон привлекает нарушителя к ответственности и обязывает его возместить причиненный ущерб.
К правовой защите информации на объекте относится:
-
Установленный перечень сведений, составляющих конфиденциальную информацию;
-
Инструкции по работе с документами, содержащими конфиденциальную информацию;
-
Трудовые договора с каждым сотрудником, в которых отдельным пунктом прописаны условия работы с конфиденциальной информацией и ответственность за ее разглашение.
Также с сотрудниками, непосредственно работающими с конфиденциальной информацией, заключается типовой договор, в котором оговорены все аспекты и особенности работы с конфиденциальной информацией.
Организационный элемент системы защиту информации содержит меры управленческого, ограничительного (режимного) и технологического характера. Данные меры должны побуждать персонал соблюдать правила защиты информации на объекте. Эти меры определяют:
-
Ведение всех видов аналитических работ;
-
Формирование и организацию деятельности службы безопасности, службы конфиденциальной информации, обеспечение деятельности этих служб нормативно-методической документацией;
-
Организацию, составление и регулярное обновление состава защищаемой банком информации. Составление и ведение перечня защищаемых бумажных и электронных документов;
-
Формирование разрешительной системы разграничения доступа персонала к конфиденциальной информации;
-
Методы отбора персонала для работы с конфиденциальной документацией, методику обучения и инструктирования работников;
-
Контроль соблюдения работниками порядка защиты информации;
-
Технологию защиты, обработки и хранения бумажных и электронных документов;
-
Регламентацию не машинной технологии защиты электронных документов;
-
Порядок защиты ценной информации от случайных или умышленных несанкционированных действий персонала;
-
Порядок защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе и представителями СМИ;
-
Оборудование и аттестацию помещений и рабочих зон, выделенных для работы с конфиденциальной информацией;
-
Регламентацию пропускного режима на территории, в здании, помещениях, идентификации транспорта и персонала фирмы;
-
Организацию системы охраны территории;
-
Регламентацию действий персонала в экстренных ситуациях;
-
Регламентацию работы по управлению системой защиты информации.
Элемент организационной защиты является стержнем, основной частью рассматриваемой комплексной системы защиты. Меры по организационной защите информации составляют 50-60 % в структуре большинства систем защиты информации.
Автоматизированная система объекта относится к классу защищенности 1Г. Для обеспечения программно-аппаратной защиты в банке используется система «Secret Net».
Основные возможности комплекса «Secret Net»:
-
Поддержка автоматической смены пароля пользователя по истечении заданного интервала времени;
-
Разграничение доступа пользователей к ресурсам компьютера с помощью механизмов дискретного и мандатного управления доступом;
-
Создание для любого пользователя ограниченной замкнутой среды программного обеспечения (списка разрешенных для запуска программ;
-
Управление временем работы всех пользователей;
-
Регистрация действий пользователя в системном журнале;
-
Защита компьютера от проникновения и размножения вредоносных программ;
-
Контроль целостности средств защиты, среды выполнения программ и самих прикладных программ;
-
Централизованный мониторинг состояния безопасности информационной системы и управления защитными механизмами;
-
Криптографическая защита данных.
К программно-аппаратным средствам защиты информации относится защита ПЭВМ и СИРД от ПЭМИН.
Побочные электромагнитные излучения и наводки (ПЭМИН) — это паразитные электромагнитные излучения радиодиапазона, создаваемые в окружающем пространстве устройствами, специальным образом для этого не предназначенными.
В выделенном помещении для исключения ПЭМИН используется генератор шума ГШ-К-1000М. Он предназначен для защиты информации от утечки, обусловленной побочными электромагнитными излучениями и наводками ПЭВМ и других средств обработки информации. Генератор является бескорпусным и устанавливается в PCI слот системного блока ПЭВМ. Генератор имеет внешнюю гибкую рамочную антенну диаметром 50 см. Изделие имеет индикацию работоспособности, в случае неисправности подается звуковой сигнал.
Для защиты СИРД используется ГШ-1000М. В отличие от модели представленной выше он имеет корпус и устанавливается непосредственно рядом с СИРД. Его рабочий диапазон такой же, как и у ГШ-К-1000М и составляет 0,1-1000 МГц. Оба прибора имеют сертификаты ФСТЭК.
Инженерно-техническая защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности организации или учреждения.
Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя:
-
сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);
-
средства защиты помещений от визуальных способов технической разведки;
-
средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);
-
средства противопожарной охраны;
-
технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг.
Исходя из перечисленных ранее возможных каналов утечки информации, необходимо смоделировать способы ее защиты.
Таблица 2
Модель защиты информации от утечки по техническим каналам с объекта защиты
| № п\п | Место установки | Тип устройства защиты информации | Способ применения | Технический канал закрытия утечки информации |
| | Окно помещения | Установка на окна защитной пленки | Постоянно | Оптический |
| | Розетки 220 В в выделенном помещении | Фильтр сетевой помехоподавляющий ФСП-1Ф-7А | Постоянно | Радиоэлектронный |
| | ПЭВМ | Генератор шума ГШ-К-1000М | Постоянно | Радиоэлектронный |
| | СИРД | Генератор шума ГШ-1000М | Постоянно | Радиоэлектронный |
| | Линии системы энергоснабжения | Генератор шума SEL SP 41 | Постоянно | Радиоэлектронный |
| | Рядом с телефоном | Многофункциональный модуль защиты телефоной линии"SEL SP-17/D" | Постоянно | Радиоэлектронный |
| | Системы центрального отопления, стены, подземные водопроводы и теплопроводы | Виброакустический генераторСоната АВ 1М | Постоянно | Акустический |
Так как окна выделенного помещения выходят на стоянку автомобилей, поэтому для исключения утечки информации по оптическому каналу, на окна устанавливается защитная пленка, которая не только исключает возможность просмотра происходящего в помещений через окна, но и поглощает ИК-излучение и является бронированной.
Защита информации от утечки по радиоэлектронному каналу — это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за счет электромагнитных полей побочного характера и наводок.
Для линий системы энергоснабжения устанавливается сетевой фильтр помехоподавляющий ФСП-1Ф-7А.
Защита сети 220 осуществляется устройством защиты цепей электросети и заземления SEL SP-41. Оно представляет собой генератор регулируемого шума по электросети и является техническим средством активной защиты от утечки информации по сети электропитания и подавления устройств несанкционированного съёма информации, использующих электросеть в качестве канала передачи. SEL SP-41 имеет сертификат соответствия ФСТЭК № 1445.
Для защиты телефонных линий от абонента до городской телефонной станции (ГТС) или от мини-АТС до ГТС используется многофункциональный модуль защиты телефонных линий SEL SP-17/D. При этом обеспечивается: снижение эффективности (вплоть до полного подавления) гальванически подключенных устройств несанкционированного съёма информации любого типа, средств магнитной записи и параллельных телефонных аппаратов, защита от прослушивания помещений через телефонный аппарат при положенной трубке за счёт использования микрофонного эффекта и высокочастотного (ВЧ) навязывания, а также контроль состояния защищаемой телефонной линии. SEL SP-17/D имеет сертификат соответствия ФСТЭК № 1082.
Защита информации от утечки по акустическому каналу — это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
