Проектирование системы инженерно-технической защиты кабинета руководителя среднего государственного предприятия

Проектирование системы инженерно-технической защиты кабинета руководителя среднего государственного предприятия

Кафедра информационной безопасности

Факультет очного обучения

«Проект допущен к защите»

Зав. кафедрой ИБ

______________ /_______/

«___» _____________ 2012г.

ДИПЛОМНЫЙ ПРОЕКТ

Тема: Проектирование системы инженерно-технической защиты кабинета руководителя среднего государственного предприятия

Специальность: 090103

«Организация и технология защиты информации»

Выполнил студент группы ЗИ-052 Комраков А.В.

Руководитель к.т.н., с.н.с. Титов М.Ю.

Рецензент (уч. степень, звание) Пономаренко Г.В.

Королев - 2012

Содержание

Введение

Раздел 1. Анализ существующей системы инженерно-технической защиты кабинета руководителя госпредприятия

.1 Общая характеристика объекта защиты и его составных элементов

.2 Анализ защищаемой информации, циркулирующей в кабинете руководителя госпредприятия

.3 Выявление возможных каналов утечки информации в кабинете руководителя госпредприятия

.4 Построение модели нарушителя

.5 Построение модели угроз утечки информации по техническим каналам в кабинете руководителя госпредприятия

.6 Требования, предъявляемые к проектируемой системе инженерно-технической защиты кабинета руководителя госпредприятия

.7 Выводы по разделу 1

Раздел 2. Проектирование системы инженерно-технической защиты кабинета руководителя госпредприятия

.1 Структурно-функциональная схема системы инженерно-технической защиты кабинета руководителя госпредприятия

.2 Обоснование выбора технических средств проектируемой системы инженерно-технической защиты информации

.3 Расчёт основных характеристик защищённости проектируемой системы инженерно-технической защиты информации

.4 Выводы по разделу 2

Раздел 3. Оценка функционально-экономической эффективности предлагаемой системы инженерно-технической защиты кабинета руководителя госпредприятия

.1 Оценка функциональной эффективности системы инженерно-технической защиты кабинета руководителя госпредприятия

.2 Оценка экономической эффективности системы инженерно-технической защиты кабинета руководителя госпредприятия

.3 Выводы по разделу 3

Заключение

Список литературы

Приложения

Приложение 1

Приложение 2

Приложение 3

Приложение 4

Приложение 5

Введение

В настоящее время информация в жизни людей приобретает все более высокую ценность. Недаром существует выражение «Кто владеет информацией - тот владеет миром». В истории известно множество случаев кражи информации, которые приводили к негативным последствиям для ее владельцев. Именно поэтому информацию следует тщательно защищать.

Информация передается по различным каналам связи, которые должны быть защищены надлежащим образом. В случае слабой защиты этих каналов, информация может стать доступной для посторонних лиц. Для устранения таких ситуаций используются различные технические средства, которые не позволяют информации распространяться дальше заданной зоны. Каналы, по которым информация распространяется за пределы контролируемой зоны, называются каналами утечки информации. Также, существуют случаи преднамеренных искажений, кражи, удаления информации со стороны злоумышленника. Такие случаи называют несанкционированным доступом. В данном проекте будут рассмотрены возможные угрозы безопасности кабинета руководителя среднего госпредприятия.

Актуальностью данного проекта является необходимость защиты сведений, разглашение, утеря или искажение которых может повлечь за собой негативные последствия для предприятия и государства, а также, необходимость соответствия информационной системы требованиям нормативно-правовых документов РФ.

Целью данного проекта является проектирование системы инженерно-технической защиты кабинета руководителя государственного предприятия.

В задачи данного проекта входят:

·        анализ существующей системы инженерно-технической защиты кабинета руководителя госпредприятия;

·        проектирование системы инженерно-технической защиты кабинета руководителя госпредприятия;

·        оценка функционально-экономической эффективности предлагаемой системы инженерно-технической защиты кабинета руководителя госпредприятия.

Практическая значимость данного проекта состоит в снижении рисков утечки конфиденциальной информации и государственной тайны по различным каналам в рассматриваемом кабинете руководителя госпредприятия.

Новизной данного дипломного проекта является решение вопроса защиты конфиденциальной информации и государственной тайны от утечки по акустическому каналу в кабинете руководителя госпредприятия, с учетом многоканального перехвата.

Раздел 1. Анализ существующей системы инженерно-технической защиты кабинета руководителя госпредприятия

защита кабинет руководитель государственный

1.1 Общая характеристика объекта защиты и его составных элементов

Рассматриваемый кабинет руководителя госпредприятия НИИ КС представляет собой выделенное помещение, в котором решаются различные вопросы об информационной безопасности предприятия, а также проводятся совещания сотрудников компании с самим руководителем. Руководитель имеет собственное автоматизированное рабочее место (АРМ), на котором обрабатывается и хранится различная секретная информация, подлежащая защите. Доступ в кабинет осуществляется через приемную комнату, в которой находится секретарь, также имеющий собственное АРМ.

Схема расположения кабинета руководителя представлена в приложении 1.

В кабинете присутствуют 2 окна, выходящие на улицу. Расстояние от окон до периметра всего предприятия составляет 20 м. Кабинет находится на третьем этаже здания, поэтому решетки на окнах в данном помещении не предусмотрены.

Из данного кабинета руководитель может попасть в свою комнату отдыха, граничащую с зоной самого выделенного помещения. Эта комната не рассчитана на доступ в нее посторонних лиц, кроме самого руководителя, поэтому ее можно отнести к доверительной зоне.

Кроме того, зона рассматриваемого помещения граничит с коридором. Эта зона является потенциально опасной со стороны информационной безопасности.

В кабинете установлена система отопления, выходящая за пределы контролируемой зоны. Она может являться одним из каналов утечки информации, поэтому необходимо рассмотреть ее уровень защиты.

Также, потенциально возможными каналами утечки информации в данном кабинете могут являться телефонные и электропроводные линии, окна помещения, дверные проемы и периметр самого помещения(стены, потолок, пол).

Кабинет руководителя предприятия НИИ КС расположен в трёхэтажном здании, находящемся не территории всего предприятия. Схема расположения данного здания, а также планировка всего третьего этажа, приведены в приложении 2.

Из данной схемы следует, что доступ на территорию предприятия осуществляется через контрольно-пропускной пункт (КПП), расположенный в части периметра предприятия. Вся территория имеет ограждение в виде бетонного забора высотой 2,5 м. Между входом/въездом на территорию предприятия и зданием, в котором расположено рассматриваемое выделенное помещение, расположена парковка для автомобилей. Доступ в здание осуществляется через главный вход, через который можно попасть на лестничную клетку, ведущую на третий этаж, где расположен кабинет руководителя предприятия. Чтобы попасть в здание, злоумышленнику потребуется пройти через входную дверь здания, дверь, ведущую на лестничную клетку, дверь в кабинет секретаря и, наконец, дверь в кабинет руководителя.

Характеристика выделенного помещения приведена в табл. 1.1.

Таблица 1.1

Характеристика выделенного помещения

Как указано в таблице - входная дверь в кабинет состоит из двух дверей - внешней и внутренней, образуя тамбур. Данное конструкторское решение связано с увеличением безопасности доступа в помещение, а также с увеличением звукоизоляции кабинета.

Установленные в оконной раме двухкамерные стеклопакеты также имеют высокую звукоизоляцию.

Состав технических средств, установленных в рассматриваемом помещении, представлен в табл. 1.2.

Таблица 1.2

Состав технических средств выделенного помещения

Все технические средства, установленные в помещении, имеют канал связи, выходящий за пределы контролируемой зоны, поэтому эти каналы связи впоследствии могут стать каналами утечки информации. Чтобы избежать этого, данные каналы необходимо экранировать.

.2 Анализ защищаемой информации, циркулирующей в кабинете руководителя госпредприятия

В рассматриваемом кабинете руководителя предприятия НИИ КС хранится и обрабатывается следующая защищаемая информация:

) государственная тайна;

) конфиденциальная информация.

К государственной тайне, обрабатываемой в данном помещении, относятся сведения в области экономики, науки и техники (статья 5 закона РФ «О государственной тайне» от 21 июня 1993 г.).

К конфиденциальной информации, обрабатываемой в данном помещении, относятся такие сведения, как:

) персональные данные сотрудников предприятия;

) данные о системе безопасности на данном предприятии;

) данные о разрабатываемых на предприятии проектах.

На основании полученных данных составлена таблица (табл. 1.3) с указанием стоимости для каждого вида защищаемых сведений.

Таблица 1.3

Виды информации, обрабатываемой в кабинете руководителя, и ее стоимость

В соответствии со ст. 137 УК РФ незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в размере до двухсот тысяч рублей. Те же деяния, совершенные лицом с использованием своего служебного положения наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей. Поэтому, при оценке стоимости информации, относящейся к персональным данным, выбрана средняя стоимость, составляющая двести тысяч рублей.

Точную стоимость информации, относящейся к государственной или коммерческой тайне, обрабатываемых и хранящихся на предприятии, рассчитать практически невозможно, поскольку она зависит от степени важности и возможного ущерба, который будет нанесен предприятию или государству в случае утечки защищаемой информации. Например, злоумышленник может быть заинтересован только в одном проекте, хранящемся на предприятии или в нескольких сразу. Для достижения цели ему могут понадобиться все данные о системе безопасности или только их часть. Исходя из этого была выбрана средняя стоимость возможного ущерба, составляющая восемьсот тысяч рублей для информации, относящейся к государственной тайне, шестьсот тысяч рублей для информации о системе безопасности предприятия и триста тысяч рублей для информации, утечка которой может нанести финансовый ущерб самому предприятию.

Для определения классов защищенности информации, циркулирующей в информационной системе предприятия, необходимо знать, какие именно сведения обрабатываются в этой системе.

Предприятие НИИ КС осуществляет обработку такой конфиденциальной информации как:

) персональные данные;

) коммерческая тайна.

В соответствии с приказом ФСБ/ФСТЭК/МинСвязи от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных», для проведения классификации ИСПДн, необходимо знать:

) Насколько полную информацию о субъекте содержат обрабатываемые данные;

) Данные какого количества субъектов одновременно обрабатываются в системе предприятия.

Предприятие НИИ КС осуществляет обработку персональных данных только своих сотрудников. При этом в базе хранятся данные об адресах сотрудников, их образовании, возрасте, военной службе, иными словами, персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1. Отсюда следует, что персональные данные, обрабатываемые в информационной системе НИИ КС, относятся к категории 2.

Поскольку количество сотрудников компании не превышает 1000 человек, то число одновременно обрабатываемых персональных данных составляет менее 1000 субъектов.

Исходя из того, что персональные данные, обрабатываемые в системе предприятия, относятся к категории 2 и их количество составляет менее 1000 одновременно обрабатываемых субъектов, следует, что данную ИСПДн можно от нести к классу защищенности К3. К ним относятся информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.

Автоматизированная система компании НИИ КС представляет собой многопользовательскую систему, в которой все пользователи имеют разные права доступа к информации. Также, на предприятии ведется обработка информации, относящейся к государственной тайне. Исходя из этого, рассматриваемая АС имеет класс защищенности от НСД «1В».

Кроме того, поскольку к государственной тайне, обрабатываемой в рассматриваемом помещении, относятся сведения в области экономики, науки и техники (статья 5 закона РФ «О государственной тайне» от 21 июня 1993 г.), то ей следует присвоить гриф секретности «секретно», поскольку потеря таких сведений может нанести ущерб государству, но он будет относительно не велик.

Кроме того, перед любым предприятием, сталкивающимся с защитой конфиденциальной информации, стоит выбор правильной стратегии защиты. Предприятием может быть выбрано 3 варианта стратегии:

·        наступательная;

·        оборонительная;

·        упреждающая.

Рассматриваемое в данной работе предприятие НИИ КС является государственным и его бюджет в основном формируется из денежных средств, выделенных самим государством. Кроме того, государственные предприятия, в отличие от коммерческих, не ставят получение прибыли на первое место, а значит. Государственные предприятия обычно являются надежными долгосрочными компаниями. Исходя из этого, выбор наступательной стратегии для подобного государственного предприятия является нецелесообразным.

Выбор упреждающей стратегии, также, не лучшим образом подходит к данному предприятию, в связи с большой конкуренцией в сфере торговли. При выборе упреждающей стратегии для защиты информационной системы предприятия также уйдет немало средств на обеспечение безопасности. Кроме этого, с каждым днем появляются все более изощренные методы НСД к информации, и предприятие будет вынуждено постоянно сталкиваться с новыми видами возможных угроз, которые будут заставлять руководство компании тратить еще большие деньги на обеспечение защиты. Выбор упреждающей стратегии будет необоснованно дорогим.

Для государственного предприятия НИИ КС лучше всего подойдет оборонительная стратегия. При грамотном составлении списка возможных угроз, оценке ущерба от НСД или утечки информации, а также принятии мер по исключению возможных вариантов хищения/модификации/удаления информации, компания может надежно защитить обрабатываемую в ИС информацию, затратив при этом значительно меньшее количество денежных средств, чем при выборе наступательной или упреждающей стратегии.

.3 Выявление возможных каналов утечки информации в кабинете руководителя госпредприятия

Основными источниками информации в рассматриваемом выделенном помещении являются:

) руководитель предприятия;

) сотрудники компании, находящиеся в помещении руководителя;

) АРМ руководителя предприятия;

) продукция (проекты), находящиеся в кабинете руководителя во время их рассмотрения.

Каждый из перечисленных источников защищаемой информации относится к одному или нескольким каналам утечки информации. При условии, если злоумышленник пытается воздействовать непосредственно на сам источник защищаемой информации, все вышеперечисленные источники могут образовать каналы утечки информации, указанные в табл. 1.4.

Таблица 1.4

Источники информации в кабинете руководителя, и образуемые ими каналы утечки

Руководитель и сотрудники компании образуют акустический (речевой) канал утечки информации, т.к. злоумышленник может получить сведения во время их переговоров.

АРМ руководителя не имеет акустического канала утечки, поскольку на нём не установлены колонки. АРМ руководителя образует, оптический канал утечки, за счет монитора, на котором злоумышленник может увидеть различного рода защищаемую информацию. Радиоэлектронный канал в данном случае образуется с помощью электромагнитных излучений, которые свойственны всем электронным вычислительным средствам. Также, АРМ руководителя имеет материально-вещественный канал, образующийся в случае, если злоумышленник пытается проникнуть в помещение и похитить электронные носители информации, встроенные в системный блок, либо непосредственно сам системный блок.

Приносимые в кабинет руководителя материалы/продукция, относящиеся к разрабатываемым на предприятии проектам, а также, какие-либо бумажные носители информации, образуют материально-вещественный канал информации, т.к. могут быть похищены злоумышленником. Также, данный источник информации имеет оптический канал утечки, образующийся в случаях, когда злоумышленник имеет возможность увидеть содержание данных документов (через открытую дверь, окна помещения, либо находясь в самом помещении)

Существуют следующие виды каналов утечки информации:

) акустический;

) оптический;

) радиоэлектронный;

) материально-вещественный.

Каждый из них делится еще на несколько видов каналов, отличающихся средой распространения информации, средствами распространения информации и другими особенностями. Но не каждый из всех видов каналов утечки присутствует в кабинете руководителя предприятия.

Существуют различные пути утечки информации из выделенного помещения. К ним относятся такие инженерные конструкции как стены, полы, потолки, окна, двери, а также сети электропитания, системы отопления, системы вентиляции помещений.

На основании табл. 1.4, в которой указаны возможные источники информации в рассматриваемом кабинете руководителя, составлена табл. 1.5, в которой определены возможные пути утечки информации для каждого ее источника.

Таблица 1.5

Возможные пути утечки информации от ее источников и реальность существования каналов утечки

Система отопления является путём распространения акустической информации от ее источника к злоумышленнику. Поскольку она выходит за пределы контролируемой зоны, то злоумышленник может при помощи специальных технических средств (стетоскопов) получить акустическую информацию, не проникая в кабинет руководителя.

По воздуху акустическая информация может быть перехвачена в случае нахождения злоумышленника в самом кабинете руководителя или при подслушивании через открытую дверь в данном выделенном помещении.

Стены, двери и окна также служат путем утечки акустической информации. При плохой звукоизоляции стен, злоумышленник может перехватить информацию, не проникая в сам кабинет руководителя, просто находясь по близости от него. В данном случае информацию могут даже непреднамеренно перехватить сами сотрудники предприятия, просто пройдя мимо кабинет и, «услышав краем уха» секретную информацию.

Оптическим каналом утечки информации в первую очередь являются окна помещения. Но рассматриваемый кабинет руководителя находится на третьем этаже здания, поэтому злоумышленник не сможет получить оптическую информацию без помощи специальных технических средств.
 К радиоэлектронному каналу утечки относятся электронные технические средства, обрабатывающие какую-либо информацию. В рассматриваемом кабинете таким средством является АРМ руководителя. Поскольку радиоэлектронный сигнал передается почти в любом направлении от своего источника, то возможных каналом его утечки является весь периметр выделенного помещения.

Кроме того, АРМ соединён с другими компьютерами организации при помощи сетевого оборудования. Поэтому путём утечки радиоэлектронной информации в данном случае могут являться оптоволоконные кабели, выходящие за пределы помещения.

Сети электропитания и заземления также могут служить путём утечки информации.

.4 Построение модели нарушителя

Для построения модели угроз необходимо сначала составить примерную картину о потенциальном нарушителе - модель нарушителя. Модель нарушителя представляет собой его комплексную характеристику отражающую его возможное психологическое состояние, уровень физической и технической подготовленности, осведомленности, которая позволяет оценить степень его способности в практической реализации проникновения.

Типовая модель потенциально нарушителя представлена в приложении 3.

Тип нарушителя характеризует его отношение к защищаемому объекту и его возможности по преодолению системы охраны.

Категория отражает социальное положение нарушителя. Условно к категории "специалист" можно отнести людей, профессионально занимающихся данным видом деятельности и имеющих специальную подготовку. Они могут действовать в интересах государства или преследовать личные цели. К категории "любитель" относятся наемники или люди, остро нуждающиеся в средствах (например, безработные), обдуманно совершающие противоправные действия.

К категории "дилетант" можно отнести хулиганов, наркоманов, алкоголиков, совершающих проникновение без предварительной подготовки. Они преследуют, как правило, корыстные цели и (или) мелкое вредительство. "Сотрудник" - это человек, работающий непосредственно на объекте защиты, его цель - обогащение.

Подготовленность нарушителя характеризуется рядом параметров, основными из которых являются психологические особенности личности, физическое состояние, техническая оснащенность и уровень осведомленности об объекте и системе охраны. Эти характеристики находятся во взаимодействии, усиливая или ослабляя друг друга.

Для оценки эффективности противодействия злоумышленникам будет использована рубежная модель доступа предприятия (рис.1.3), изображающая объекты, которые необходимо преодолеть злоумышленнику для доступа к ним.

1 - периметр территории предприятия (рубеж I)

- периметр здания предприятия (рубеж II)

- периметр прилегающих к выделенному помещению кабинетов (дверь в кабинет секретаря) (рубеж III)

- периметр выделенного помещения (рубеж IV)

Рис.1.3. Представление рубежей доступа к защищаемым объектам

Первый рубеж представляет собой периметр территории предприятия, обнесенный железобетонным забором высотой 2,5м. Злоумышленник может преодолеть его, воспользовавшись лестницей. Но поскольку забор оснащён колючей проволокой по всему периметру, то злоумышленнику, для успешного проникновения, потребуется сначала перерезать её, что займёт у него определённое количество времени.

Второй рубеж представляет собой периметр здания предприятия. Пройти через него злоумышленник сможет, воспользовавшись входными дверьми, либо окнами. Но поскольку на окнах первого этажа установлены металлические решетки, то для проникновения через них внутрь здания злоумышленнику придется сначала избавиться от этих решеток, что займет у него гораздо больше времени, чем взлом входной двери.

Третьим рубежом является дверь в кабинет секретаря руководителя. Чтобы попасть внутрь выделенного помещения, злоумышленнику необходимо будет пройти через этот рубеж. Чтобы обойти этот рубеж, существует, также, вариант уничтожения части стены выделенного помещения, но это займет гораздо больше времени и усилий, чем взлом дверей в кабинеты секретаря и руководителя.

Четвертый рубеж представляет собой периметр самого выделенного помещения. Поскольку кабинет руководителя расположен на 3-ем этаже здания, то проникновение злоумышленника через окна рассматриваться не будет. Проникновение через стены также не стоит рассматривать как один из вариантов, по причинам, указанным в описании третьего рубежа. Поэтому, к четвертому рубежу целесообразно относить именно входную дверь в кабинет руководителя.

Эффективность защиты от несанкционированного доступа злоумышленника определяется зависимостью времени, которое ему необходимо для выполнения цели и ухода с территории, и временем, за которое спец группа, отвечающая за безопасность предприятия, сможет перехватить нарушителя. Надежность защиты в этом случае считается эффективной, если группа, отвечающая за безопасность предприятия, приезжает до того, как злоумышленник успеет покинуть территорию, достигнув своей цели.

Поэтому, чтобы определить эффективность инженерно-технической защиты предприятия от несанкционированного доступа злоумышленника, необходимо выявить за какое время нарушитель преодолеет каждый рубеж защиты, осуществит задуманное и покинет территорию предприятия (табл. 1.6). Табл. 1.6 объединяет в себе типовую модель нарушителя и рубежную модель доступа.

Под злоумышленником, являющимся дилетантом, понимается нарушитель, не имеющий при себе специальных технических средств для взлома, не имеющий опыта проникновения в выделенное помещение и не имеющий четкого плана действий. В случае с рассматриваемым предприятием, такой злоумышленник сможет преодолеть только первый рубеж, но не сможет проникнуть внутрь здания, в котором находится выделенное помещение.

Таблица 1.6

Показатели времени, затрачиваемые злоумышленником на осуществление своих целей

Злоумышленник, являющийся любителем, имеет при себе специальные технические средства для проникновения в выделенное помещение, опыт преодоления различных рубежей доступа, а также примерный план своих действий. Такой нарушитель обычно имеет возможность осуществить свою цель и успешно покинуть контролируемую зону предприятия.

Под нарушителем, являющимся специалистом, понимается злоумышленник, обладающий специальными техническими средствами для проникновения в выделенное помещение, опыт подобных успешных несанкционированных действий, а также тщательно продуманный план действий. Кроме того, специалист может распланировать различные варианты своих действий в зависимости от ситуации.

Сотрудники предприятия, являющиеся нарушителями, могут осуществлять несанкционированный доступ, тщательно проанализировав систему безопасности компании. Кроме того, в зависимости от должности сотрудника, для преодоления некоторых рубежей ему могут не понадобиться технические средства для взлома дверей и прочего. Некоторые из таких сотрудников могут свободно попасть на территорию предприятия, а также в здание с рассматриваемым выделенным помещением.

Преодоление первого рубежа занимает в среднем одну минуту, поскольку злоумышленнику необходимо перелезть через забор, предварительно перерезав на нём колючую проволоку. Если же нарушителем является сотрудник компании, то он имеет возможность пересечь первый рубеж через КПП предприятия.

Преодоление второго рубежа включает в себя время, затрачиваемое злоумышленником на то прохождение (перенос оборудования) от первого рубежа ко второму, а также время, необходимое для взлома входной двери, через которую можно попасть в здание с рассматриваемым выделенным помещением. Специалист, имея больше опыта и подготовки, пересечет данный рубеж быстрее, чем любитель. Если же нарушителем является сотрудник компании, имеющий доступ к этому зданию, то ему будет достаточно затратить время на прохождение расстояния между первым и вторым рубежом, и на открытие двери.

На преодоление третьего рубежа злоумышленнику-любителю потребуется около трёх минут, поскольку ему необходимо сначала подняться на третий этаж, пересечь расстояние от второго до третьего рубежа, а также взломать входную железную дверь в комнату секретаря. Специалист сделает это несколько быстрее, чем любитель. Сотруднику компании также придется затратить время на взлом двери, поскольку ключ к ней имеют только руководитель и его секретарь.

Преодоление четвертого рубежа займет у злоумышленника около двух минут, т.к. ему будет необходимо затратить время на взлом железной двери, установленной на входе в выделенное помещение.

Время, затрачиваемое нарушителем на осуществление своих целей, зависит от его осведомленности о расположении объектов в выделенном помещении, а также от характера его действий.

Показатели времени, записанные в табл. 1.6, являются средними значениями времени, затрачиваемого злоумышленником на преодоление каждого из рубежей доступа к выделенному помещению. В таблице также просуммировано общее время, затрачиваемое нарушителем на преодоление всех рубежей, а именно:

·        дилетант - сможет пройти только первый рубеж доступа, на который затратит около 60 секунд;

·        любитель - осуществит свои действия и покинет территорию предприятия за 10-11 минут;

·        специалист - осуществит свои действия и покинет территорию предприятия за 9-10 минут;

·        сотрудник - осуществит свои действия и покинет территорию предприятия за 7-8 минут.

При попытке проникновения злоумышленника на территорию предприятия, еще на первом рубеже срабатывает охранная сигнализация, которая оповещает пост охраны предприятия, а также внешнюю спецслужбу о появлении нарушителей. Время реагирования спецслужбы составляет 8 минут. Минимальное время, затрачиваемое нарушителем на осуществление своих действий и достижение целей составляет от семи до одиннадцати минут (в зависимости от типа нарушителя), что означает, что внешние спецслужбы успеют приехать до того, как злоумышленник покинет территорию предприятия. При этом его также могут задержать сотрудники охраны самого предприятия. Кроме того, при срабатывании охранной сигнализации включается звуковая сирена, которая возможно отпугнёт нарушителя. Из данного текста следует, что инженерная защита на предприятии соответствует норме, определяемой рубежной моделью доступа - время, затрачиваемое злоумышленником на осуществление своих целей больше, чем время, затрачиваемое на его перехват.

В ходе анализа инженерно-технической защиты предприятия было выявлено, что оптические, радиоэлектронные и вещественные каналы утечки информации полностью соответствуют нормам защиты. Данные сведения содержатся в отдельных документах предприятия, связанных с обеспечением его информационной безопасности.

Проверка акустического канала утечки не производилась. С учетом того, что в кабинете отсутствуют технические средства, являющиеся источниками акустического сигнала, целесообразно рассматривать именно речевую информацию.

Утечка речевой информации возможна по следующим акустическим техническим каналам:

) источник речевого сигнала à стена в кабинет секретаря à акустический приемник злоумышленника;

) источник речевого сигнала à приоткрытая дверь в кабинет à акустический приемник;

) источник акустического сигнала à закладное устройство à радиоканал à радиоприемник злоумышленника;

) источник акустического сигнала à стекло окна à модулированный лазерный луч à фотоприемник лазерной системы подслушивания;

) источник акустического сигнала à воздухопровод à акустический приемник;

) источник акустического сигнала à случайный акустоэлектрический преобразователь в техническом средстве à побочное излучение технического средства à радиоприемник;

) источник акустического сигналаà случайный акустоэлектрический преобразователь в техническом средстве à проводные кабели, выходящие за пределы контролируемой зоны;

) источник акустического сигнала à воздушная среда помещения à диктофон злоумышленника.

Для оценки угроз речевой информации необходимо оценить уровень акустического сигнала в возможных местах размещения акустического приемника злоумышленника. Такими местами являются:

) кабинет секретаря;

) коридор;

) смежные с кабинетом помещения;

) помещения с трубами отопления, проходящими через кабинет;

) помещения, акустически связанные с кабинетом через воздухопроводы вентиляции.

Кроме того, речевая информация в кабинете может ретранслироваться по радиоканалу или проводам телефонной линии и электропитания закладными устройствами и побочными электромагнитными излучениями основных и вспомогательных технических средств и систем, а также средствами лазерного подслушивания. Также, в принципе, акустическая информация может быть добыта с помощью лазерного средства подслушивания, установленного в помещении противоположного дома.

В качестве критерия защищенности речевой информации используется отношение сигнал/шум, при котором качество подслушиваемой речевой информации ниже допустимого уровня. В соответствии с существующими нормами понимание речи невозможно, если отношение помеха/сигнал равно 6-8, а акустический сигнал не воспринимается человеком как речевой, если отношение помеха/сигнал превышает 8-10. Следовательно, для гарантированной защищенности речевой информации отношение сигнал/шум должно быть не более 0,1 или (-10) дБ. Оценка угрозы акустического канала утечки информации при подслушивании человеком производится по формуле:

 (1) ,

где  - уровень громкости на приёмнике;

- уровень громкости источника информации;

- величина звукоизоляции элемента среды распространения;

- уровень шума.

При применении технического акустического приемника эта величина увеличивается на 6 дБ.

Отдельные значения входящих в формулу слагаемых указаны в табл. 1.7.

Таблица 1.7

Уровни громкости речевой информации в возможных местах размещения акустического приемника злоумышленника при громкости источника 70 дБ, а также риск подслушивания, указаны в табл. 1.8.

Таблица 1.8

Оценка угроз акустического канала утечки информации

Как следует из табл. 1.8, наибольшую угрозу создает канал утечки, приемник которого расположен в кабинете секретаря, на трубах системы отопления и в коробе вентиляции. Каналом утечки, приемник которого расположен в коридоре и в верхних/нижних помещениях можно пренебречь.

По табл. 1.8 можно составить график, изображающий отклонение уровня громкости на приемнике сигнала от нормы, равной (-10) дБ (рис. 1.4).

Рис. 1.4 График отклонения уровня громкости на приемнике от нормы

Из данного графика следует, что при установке подслушивающих устройств в коридоре или в верхних (нижних) помещениях относительно кабинета руководителя, утечки речевой информации не будет, т.к. разборчивость сигнала будет минимальной и злоумышленник не сможет распознать речь находящихся в помещении людей.

Оценка эффективности защищенности технических каналов утечки информации осуществляется путём рассмотрения возможных каналов утечки информации, источников сигнала, путей утечки информации и средств съема информации (табл. 1.9, приложение 4). При этом для каждого элемента таблицы определяется вероятностная оценка существования канала, а также присваивается ранг угрозы.

Ранги угроз, обозначенные в таблице, имеют следующие значения:

Ранг 1 - каналы утечки информации, защита которых обязательна. Эти каналы необходимо защищать в первую очередь;

Ранг 2 - каналы утечки информации, защита которых желательна. Защита таких каналов утечки осуществляется после защиты каналов Ранга 1;

Ранг 3 - каналы утечки информации, защита которых не обязательна или соответствует норме. Защита этих каналов осуществляется при наличии должной защиты каналов Ранга 1-2, и только при наличии денежных средств на поддержание их защиты.

Реальность существования технических каналов утечки информации рассчитывается, также, в зависимости от отношения затрат злоумышленника на приобретение технических средств добывания информации и от стоимости самой информации. Кроме того, показателем реальности существования канала утечки является расположение источников сигнала, а также возможность проникновения посторонних лиц в здание/кабинет руководителя.

Поскольку идеальной защиты не существует, а разнообразие и возможности средств съема информации растут, вероятность хищения информации никогда не будет равна 0. Исходя из этого, предполагается, что вероятность существования канала утечки информации будет не менее 0,01. Значит, чтобы обеспечить надлежащую защиту каналов утеки информации, необходимо минимизировать указанную вероятность с помощью различных инженерно-технических средств или привести ее в соответствие нормам защиты.

Реальность существования вещественного канала минимальна и соответствует нормам защиты, поскольку для получения информации путём кражи материалов/оборудования, злоумышленнику необходимо проникнуть в кабинет во время отсутствия в нём самого руководителя. Вероятнее всего нарушитель попытается для этого проникнуть на предприятие в нерабочее время, но как уже было сказано ранее, он не успеет осуществить свои цели и скрыться. Но остается возможность проникновения злоумышленника под видом посетителя и малая вероятность порчи или кражи защищаемого оборудования/документов.

Реальность существования радиоэлектронного канала утечки информации, также, минимальна соответствует нормам защиты по нескольким причинам:

) Для снятия информации через данный канал утечки требуется дорогостоящее оборудование, стоимость которого может оказаться близка к стоимости самой информации;

) Предприятие имеет большую территорию, в связи с чем рассматриваемое выделенное помещение находится в пределах ~70-80 м от периметра территории компании. Немногое оборудование может снимать информацию с таких расстояний, поэтому для осуществления своих целей нарушителю необходимо будет проникнуть на территорию предприятия вместе с оборудованием и попытаться установить его где-либо;

) Оборудование для снятия радиоэлектронных сигналов имеет большую габаритность, поэтому установить его на какое-то время в пределах территории предприятия не получится, т.к. отдел безопасности регулярно занимается поиском подобных устройств.

Реальность существования оптического канала утечки также мала и соответствует нормам защиты, поскольку кабинет находится на 3-ем этаже здания, в связи с чем злоумышленнику понадобится осуществлять наблюдение из соседних зданий, расположенных за территорий предприятия, либо находясь непосредственно в самом выделенном помещении. Из соседнего здания злоумышленник не сможет осуществить просмотр, т.к. на окнах имеются жалюзи, которые закрыты во время переговоров, обсуждении/рассмотрении проектов и другой защищаемой информации. Внутри помещения злоумышленнику не удастся осуществить видеосъемку или сделать фото документов с конфиденциальной информацией, поскольку попасть туда при отсутствии самого руководителя он не сможет даже под видом посетителя. Также есть вариант использования нарушителем дорогостоящего рентгеновского оборудования, затраты на которое могут быть близки к стоимости самой защищаемой информации. Кроме того, такое оборудование имеет большую габаритность, и скрыть его от сотрудников отдела информационной безопасности будет практически невозможно.

Акустические каналы утечки имеют наибольшую вероятность существования, в зависимости от вида канала. Так, например, злоумышленник может проникнуть в кабинет под видом посетителя и установить где-либо микрофон, который будет являться приемником информации. Зачастую, такие микрофоны сложно найти, поскольку некоторые из них имеют возможность работать только в те моменты, когда в кабинете что-либо обсуждается. Кроме того, при низкой звукоизоляции выделенного помещения, получателем информации может стать даже случайный сотрудник, ожидающий в кабинете секретаря. Также, есть возможность использования злоумышленником лазерного направленного микрофона, который является приемником, образуя электроакустический канал утечки информации. Такой микрофон направляется на окна кабинета, с помощью чего на приемнике информации фиксируются малейшие колебания стекла, преобразуя их в электрический сигнал, который в последствии можно преобразовать обратно в акустический.

Таким образом, наиболее вероятной является возможность утечки информации по акустическому каналу.

.6 Требования, предъявляемые к проектируемой системе инженерно-технической защиты кабинета руководителя госпредприятия

Исходя из полученных требований о кабинете руководителя предприятия НИИ КС определены следующие требования по безопасности для проектирования системы инженерно-технической защиты информации:

·        необходимо определить структуру разрабатываемой системы инженерно-технической защиты, включающую в себя все возможные каналы утечки информации в рассматриваемом выделенном помещении;

·        необходимо усовершенствовать защиту акустического канала утечки информации и привести её показатели в соответствие нормам безопасности, указанным в п.1.5;

·        необходимо минимизировать риск возникновения каналов утечки информации путём использования специальных технических средств, инженерных и архитектурных конструкций, для защиты от злоумышленников;

·        система инженерно-технической защиты рассматриваемого кабинета должна быть экономичной в использовании, а средства, затрачиваемые на её внедрение, должны быть меньше убытков в случае утечки информации.

·        в соответствии с выбранной руководством предприятия оборонительной стратегией защиты информации, уровень защищенности всей инженерно-технической защиты информации, в целом, должен быть не менее 0,75.

.7 Выводы по разделу 1

В ходе анализа кабинета руководителя госпредприятия были выявлены возможные каналы утечки информации, виды защищаемой информации, её стоимость, особенности каждого канала утечки информации и вероятность их возникновения.

Оценка инженерной защиты предприятия показала, что, в силу особенностей расположения рассматриваемого выделенного помещения, а также расположения различных инженерных конструкций всего предприятия, злоумышленнику не удастся осуществить свои цели и скрыться, т.к. он будет вовремя перехвачен.

Оценка технических каналов утечки информации показала, что в рассматриваемом выделенном помещении может присутствовать любой вид канала утечки, а именно: акустический, оптический, радиоэлектронный и материально-вещественный. Однако, защищенность оптического, радиоэлектронного и вещественного каналов соответствует нормам защиты. Оценка вероятности возникновения данных каналов утечки показала, что наиболее уязвимым и несоответствующим требованиям является акустический канал.

Также, были определены:

·        стратегия защиты информации - оборонительная;

·        класс защищенности ПДн - К3;

·        гриф секретности государственной тайны - секретно;

·        класс защищенности АС от НСД - 1В.

После этого были выдвинуты требования, предъявляемые к проектируемой системе инженерно-технической защиты кабинета руководителя госпредприятия.

Раздел 2. Проектирование системы инженерно-технической защиты кабинета руководителя госпредприятия

.. Структурно-функциональная схема системы инженерно-технической защиты кабинета руководителя госпредприятия

Проектирование системы защиты, обеспечивающей достижение поставленных перед инженерно-технической защитой информации целей и решение задач, проводится путем системного анализа существующей и разработки вариантов требуемой системы защиты. Построение новой системы или ее модернизация предполагает:

·        определение источников защищаемой информации и описание факторов, влияющих на ее безопасность;

·        выявление и моделирование угроз безопасности информации;

·        определение слабых мест существующей системы защиты информации;

·        выбор рациональных мер предотвращения угроз;

·        сравнение вариантов по частным показателям и глобальному критерию, выбор одного или нескольких рациональных вариантов;

·        обоснование выбранных вариантов в докладной записке или в проекте для руководства организации;

·        доработка вариантов или проекта с учетом замечаний руководства.

Алгоритм проектирования системы защиты информации представлен на рисунке 2.1.

Последовательность проектирования (модернизации) системы инженерно технической защиты включает три основных этапа:

·        моделирование объектов защиты;

·        моделирование угроз информации;

·        выбор мер защиты.

Рис. 2.1. Алгоритм проектирования подсистемы инженерно-технической защиты информации

В общем случае подсистему инженерно-технической защиты кабинета руководителя предприятия целесообразно разделить на комплексы, каждый из которых объединяет силы и средства предотвращения одной из угроз утечки информации (рис. 2.2).

Комплекс защиты информации от наблюдения должен обеспечивать:

·        маскировку объектов наблюдения в видимом, инфракрасном и радиодиапазонах электромагнитных волн, а также объектов гидроакустического наблюдения;

·        формирование ложной информации об объектах наблюдения;

·        ослепление и засветку средств наблюдения в оптическом диапазоне длин волн;

·        создание помех средствам радиолокационного наблюдения.

Рис. 2.2. Структурно-функциональная схема разрабатываемой подсистемы инженерно-технической защиты кабинета руководителя предприятия

Комплекс защиты информации от подслушивания включает средства, предотвращающие утечку акустической информации в простом акустическом канале утечки информации. Они должны обеспечить:

·        звукоизоляцию и звукопоглощение речевой информации в помещениях;

·        звукоизоляцию акустических сигналов работающих механизмов, по признакам которых можно выявить сведения, содержащие государственную или коммерческую тайну;

·        акустическое зашумление помещения, в котором ведутся разговоры по закрытой тематике.

Комплекс защиты информации от перехвата должен предотвращать перехват защищаемой информации, содержащейся в радио- и электрических функциональных сигналах. С этой целью подсистема должна иметь средства, обеспечивающие:

·        структурное скрытие сигналов и содержащейся в них информации;

·        подавление до допустимых значений уровней опасных сигналов, распространяющихся по направляющим линиям связи (кабелям, волноводам);

·        экранирование электрических, магнитных и электромагнитных полей с защищаемой информацией;

·        линейное и пространственное зашумление опасных радио- и электрических сигналов.

Так как носителями информации в вещественном канале утечки информации являются отходы производства в твердом, жидком и газообразном виде, то средства комплекса защиты предотвращения утечки вещественных носителей должны обеспечивать:

·        уничтожение информации, содержащейся в выбрасываемых или подлежащих дальнейшей переработке отходах;

·        уничтожение неиспользуемых вещественных носителей;

захоронение в специальных могильниках вещественных носителей, которые не могут быть уничтожены.

.2 Обоснование выбора технических средств проектируемой системы инженерно-технической защиты информации

На сегодняшний момент на рынке представлено достаточно много средств защиты речевой информации (СРЗИ) с различными характеристиками. Основной задачей, которых является создание помехи с целью снижения отношения сигнал/шум на входе технических средств разведки. Одной из важных характеристик СРЗИ является радиус действия вибратора на ограждающей конструкции (стена, пол, потолок), например, 2-3 метра, а для некоторых средств декларируется радиус действия до 6 метров.

Применение вибраторов с большим радиусом действия может показаться эффективным решением с функциональной и экономической точки зрения, при небольших размерах выделенного помещения, что в сумме с нормативными документами может создать иллюзию защищённости речевой информации от съёма по виброакустическому каналу. В соответствии с нормативными документами и общепринятыми рекомендациями для защиты речевой информации необходимо в точках возможного съёма речевой информации обеспечить заданное отношение сигнал/помеха, при этом возможность очистки речевого сигнала от помехи не учитывается. В итоге речевой сигнал скрывается с помощью одной и той же реализации помехи при некотором различии в амплитуде на всей поверхности ограждающей конструкции или ее значительной части.

В охарактеризованных условиях основным способом очистки полезного сигнала от помехи является метод многоканального перехвата. Суть метода заключается в синхронной записи двумя и более вибродатчиками смеси полезного сигнала с помехой с последующим вычитанием каналов. Реализация данной схемы обработки не требует специальной аппаратуры и может быть произведена, например, с помощью простейших аудиоредакторов на персональной вычислительной машине. Например, из зарубежных можно отметить такие программные продукты как Adobe Audition, Sound Forge, Wave Lab, Wave Studio, а среди отечественных - Sound-Cleaner, SIS 5.2, Win-Аудио и т.п.

В результате вычитания одного сигнала из другого после их нормировки по амплитуде и при компенсированной задержке во времени распространения помехи до того или иного вибродатчика обеспечивается практически полная очистка полезного речевого сигнала от помехи. Примерная конфигурация канал утечки информации с применением средств многоканального перехвата речевой информации приведена на рисунке 2.3.

Рис. 2.3. Схема канала утечки информации с применением средств многоканального перехвата

В экспериментальных исследованиях по возможности перехвата речевой информации при реализации методов двухканального съёма проведённых А. Н. Бортниковым и др. было показано существенное увеличение разборчивости речи.

В частности, при словесной разборчивости меньше 0,1 (исключение угрозы перехвата речевой информации в соответствии с данными работы), получаемой при реализации одноканального метода съема в условиях фоновых шумов, применение двухканального метода с последующей программной обработкой и фильтрацией приводит к увеличению словесной разборчивости речи до значений 0,4-0,6, обеспечивающих возможность составить подробную справку-аннотацию о содержании речевого сообщения.

Таким образом, применение средств активного зашумления речевой информации не является гарантией от перехвата последней даже при избыточной мощности помехи и несмотря на соблюдение норм и требований в том случае, если значительные (с линейными размерами в несколько метров) зоны ограждающей конструкции защищаются лишь одним излучающим помеху вибратором. Аналогичный вывод справедлив и для нескольких распределенных по поверхности виброизлучателей, запитываемых от одного источника. Применение рассмотренных выше методов съема речевой информации усложняется в случае, когда в каждой точке ограждающей конструкции присутствуют помехи от нескольких некоррелированных источников с достаточной для эффективной защиты информации мощностью.

Исходя из всего выше описанного в качестве системы защиты речевой информации (СЗРИ) была выбрана система защиты помещений по виброакустическому каналу SEL SP-55 (4 канала) [<#"551834.files/image011.gif">

Рис. 2.4. График отклонения уровня громкости на приемнике от нормы после применения технического средства SEL SP-55/4

Из данного графика следует, что при установке подслушивающих устройств в любом, прилегающем к кабинету руководителя, помещении, утечки речевой информации не будет, т.к. разборчивость сигнала будет минимальной и злоумышленник не сможет распознать речь находящихся в помещении людей.

После определения риска подслушивания необходимо представить полученные результаты в виде общей таблицы для всех видов каналов утечки информации, с указанием путей утечки и источников информации (приложение 5, табл. 2.3)

В табл. 2.3 определено, что после использования выбранного технического средства SEL SP-55/4, проектируемая система инженерно-технической защиты будет соответствовать требованиям безопасности, устанавливаемым для различных видов каналов. В частности, рассматривался акустический канал утечки информации, поскольку вероятность его возникновения не соответствовала установленным нормам.

.4 Выводы по разделу 2

В разделе 2 был определён алгоритм проектирования подсистемы инженерно-технической защиты информации, а также разработана структурно-функциональная схема разрабатываемой подсистемы инженерно-технической защиты кабинета руководителя предприятия.

В качестве системы защиты речевой информации была выбрана система защиты помещений по виброакустическому каналу SEL SP-55 (4 канала), являющаяся активным техническим средством защиты информации от утечки по акустическому и виброакустическому каналам, снижающая уровень громкости сигнала с речевой информацией не менее чем на 20 дБ.

Расчёт основных характеристик защищённости проектируемой системы инженерно-технической защиты информации показал, что после применения технического средства SEL SP-55/4, риск подслушивания во всех возможных каналах был полностью устранён. Данный результат достигнут за счет снижения уровня громкости акустических сигналов (разборчивости речевой информации).

Комплексная оценка инженерно-технической защиты кабинета руководителя предприятия НИИ КС показала, что после применения выбранных технических средств риск возникновения возможных каналов утечки сведён к минимуму и соответствует установленным нормам.

Раздел 3. Оценка функционально-экономической эффективности предлагаемой системы инженерно-технической защиты кабинета руководителя госпредприятия

.1 Оценка функциональной эффективности системы инженерно-технической защиты кабинета руководителя госпредприятия

Для оценки состояния инженерно-технической защищенности кабинета руководителя госпредприятия выбраны следующие основные направления:

) защита по акустическому каналу;

) защита по оптическому каналу;

) защита по радиоэлектронному каналу;

) защита по вещественному каналу.

В каждом направлении выделены функционально ориентированные классы мер защиты информации, каждому из которых присваивается условная количественная оценка по шестибалльной шкале:

0 - полное отсутствие каких-либо мероприятий обеспечения безопасности;

- отдельные несистематизированные мероприятия;

- отдельные мероприятия, проводимые по единому плану обеспечения безопасности;

- минимальный объем мероприятий по единому плану;

- расширенные мероприятия по отражению вероятных угроз;

- полный набор мероприятий, увязанный с наращиванием мер по отражению непредвиденных опасностей угроз.

Бальные значения соответствуют вероятностным величинам защищенности.

Оценка состояния защиты информации на объектах осуществляется по двум критериям:

• критерию численной оценки по минимальному значению показателей;

• критерию "равнопрочности" проводимых мер защиты.

) Оценка по минимальному значению (м.з.) проводится по каждому направлению с учетом принятых для него классов мероприятий.

Для оценки значения численного критерия направления берется минимальный показатель класса.

) Оценка равнопрочности защитных мероприятий осуществляется по степени отклонения защитных мер от среднего их значения.

Среднее значение классов в направлении определяется как отношение суммы коэффициентов, поделенной на количество классов в направлении.

С учетом данных рекомендаций оценим состояние безопасности нашего объекта, заполнив оценочными показателями прилагаемую матрицу и построим графики.

Таблица 3.1

Матрица комплексной оценки состояния безопасности существующей инженерно-технической системы кабинета руководителя

Поскольку руководством предприятия выбрана оборонительная стратегия защиты, то требуемый уровень защиты всех возможных каналов утечки должен составлять 0,75, который при переводе в оценку по пятибалльной шкале будет равен 3,75.

Исходя из полученных данных, можно построить график по численной и равнопрочной оценкам инженерно-технической защиты кабинета руководителя предприятия, для сравнения и анализа полученных данных с требуемым уровнем защищенности (рис. 3.1).

Рис 3.1. График комплексной оценки состояния существующей системы инженерно-технической защиты кабинета руководителя

Для сравнения существующей системы инженерно-технической защиты с разработанной, необходимо провести аналогичные численную и равнопрочную оценки. В таблице 3.2 определены уровни защищенности системы после внедрения технических средств, указанных в разделе 3.

Таблица 3.2

Матрица комплексной оценки состояния безопасности разработанной инженерно-технической системы кабинета руководителя

Исходя из полученных данных, можно построить график по численной и равнопрочной оценкам разработанной инженерно-технической защиты кабинета руководителя предприятия, для сравнения и анализа полученных данных с требуемым уровнем защищенности (рис. 3.1).

Рис 3.2. График комплексной оценки состояния существующей системы инженерно-технической защиты кабинета руководителя

Данный график наглядно отображает, что предложенная система обеспечивает требуемый уровень защищенности. Оценка по минимальному значению предложенной модели соответствует оценке равнопрочности существующей модели, что говорит о значительном повышении показателей защищенности.

.2 Оценка экономической эффективности системы инженерно-технической защиты кабинета руководителя госпредприятия

В качестве оценки экономической эффективности системы ИТЗИ был выбран метод оптимальных систем Вильфредо Парето.

Система является эффективной в том случае, если она выполняет свою функциональную задачу с достаточным качеством и при разумном расходовании ресурсов, т.е. является оптимальной наилучшей.

В случаях, когда показатель качества содержит всего одну значимую компоненту, то задача оптимизации по внешним параметрам оказывается однозначной и единственной. Если показатель качества (эффективности) системы имеет векторный характер, то задача не имеет единственного решения. В последнем случае система описывается набором частных показателей качества . В целом эффективность системы, может быть, представлена вектором:

, (2)

где p - размерность массива.

Рассмотрим систему ИТЗ для рассматриваемого кабинета руководителя. Ввиду того, что объектом защиты является речевая информация, циркулирующая в выделенном помещении, то в качестве оценки эффективности системы ИТЗ был выбран показатель уровня громкости распознаваемого сигнала. Вторым показателем является стоимость системы защиты речевой информации.

Качество системы описывается вектором:

, (3)

где p - размерность массива,

- W (уровень громкости распознаваемого сигнала),

= 10 дБ - требуемое нормативное уровня громкости распознаваемого сигнала W для обеспечения информационной безопасности речевой информации циркулирующей в выделенном помещении.

= 72 500 руб. - максимальная стоимость СЗРИ.

Перед проведением оценки экономической эффективности системы ИТЗИ проведём сравнительный анализ стоимости СЗРИ, подходящих под заданные условия проекта. Стоимость средств защиты речевой информации и компонентов приведена в таблице 10.

Таблица 10

Стоимость системы СЗРИ

Далее, на основе данных, приведённых в таблице 10, изобразим координатную систему для определения оптимальной системы СЗРИ:

Рис. 3.3. Координатная система оценки экономической эффективности выбора технических средств

В качестве начального уровня громкости распознаваемого сигнала, рассчитываемого без использования технических средств для усовершенствования системы акустической защиты, взят наихудший, полученный уровень громкости (табл.1.8) - 10 дБ. Уровень громкости, соответствующий норме равен -10 дБ. На данном графике эффективность использования технических средств увеличивается от наихудшего значения (10 дБ) к наилучшему (-10 дБ).

В виду простоты системы и всего двух показателей эффективности СЗРИ, а именно цены и уровня громкости распознаваемого сигнала, оценка сводится к выбору наиболее дешёвой системы при обеспечении необходимого уровня громкости распознаваемого сигнала.

В квадрате IV представлены наихудшие системы, в квадрате I - наилучшие. Системы, попадающие в квадраты II и III несравнимы, так как являются лучшими по одним показателям и худшими по другим.

Исходя из графика, приведённого на рис.10, очевидно, что наиболее эффективной СЗРИ, является система виброакустической защиты SEL SP-55.

3.3 Выводы по разделу 3

В разделе 3 была приведена оценка функциональной эффективности системы инженерно-технической защиты кабинета руководителя госпредприятия, которая показала, что после внедрения в систему дополнительных технических средств, риск возникновения различных каналов утечки снижается до минимума, а уровень защиты повышается и соответствует заданным нормам.

Также, была приведена оценка экономической эффективности системы инженерно-технической защиты кабинета руководителя госпредприятия, которая показала, что при одинаковой эффективности различных технических средств, наиболее выгодным вариантом будет выбрать из них самое недорогое, которым является, выбранное в п.2.2, СЗРИ SEL SP-55/4.

Заключение

В данной работе, в полном объеме, были выполнены следующие задачи:

·        анализ существующей системы инженерно-технической защиты кабинета руководителя госпредприятия;

·        проектирование системы инженерно-технической защиты кабинета руководителя госпредприятия;

·        оценка функционально-экономической эффективности предлагаемой системы инженерно-технической защиты кабинета руководителя госпредприятия.

Анализ существующей системы инженерно-технической защиты кабинета руководителя госпредприятия показал, что среди всех возможных каналов утечки, наибольшую вероятность возникновения имеет акустический канал. Оптический, радиоэлектронный и вещественный каналы соответствуют нормам защиты. На основании полученных данных были выдвинуты требования к проектируемой системе инженерно-технической защиты.

В ходе проектирования системы инженерно-технической защиты кабинета руководителя госпредприятия был определен алгоритм проектирования подсистемы инженерно-технической защиты информации и разработана структурно-функциональная схема проекта. Для уменьшения возможности возникновения акустического канала утечки информации было выбрано техническое средство SEL SP-55/4, благодаря которому уровень защищенности акустического канала утечки информации был приведен к требуемому.

Оценка функциональной эффективности показала, что разрабатываемая система инженерно-технической защиты кабинета руководителя полностью соответствует заданным требованиям. Оценка экономической эффективности показала, что затраты на проектируемую систему защиты не превышают убытки при утечке информации.

Таким образом, цель проекта была достигнута в полном объеме. Разработанная система инженерно-технической защиты кабинета руководителя госпредприятия полностью соответствует заданным требованиям и может быть применена на практике.

Список литературы

1. Торокин А.А. «Инженерно-техническая защита информации», - М: Гелиос АРВ, 2005.-960с.

. Зайцев А.П., Шелупанов А.А., Мещеряков Р.В., Скрыль С.В., Голубятников И.В. «Технические средства и методы защиты информации: Учебник для вузов»,- М.: ООО "Издательство Машиностроение", 2009.- 508с.

. Хорев А.А. «Способы и средства защиты информации» - М.: МО РФ, 2000. - 316 с.

. Герасименко В.Г., Лаврухин Ю.Н., Тупота В.И. Методы защиты акустической речевой информации от утечки по техническим каналам. - М.: РЦИБ «Факел», 2008. - 256 с.

. Дворянкин С. В., Харченко Л. А., Козлачков С.Б. Оценка защищенности речевой информации с учетом современных технологий шумоочистки. /Вопросы защиты информации. − М.: ФГУП «ВИМИ», 2007. − № 2 (77). − С. 37 − 40.

. Хорев А.А. Техническая защита информации: учеб. пособие для студентов вузов. /Т.1. Технические каналы утечки информации. - М.; НПЦ «Аналитика», 2008. - 436 с.: ил.

. Бортников А. Н., Богаев А. С., Герасименко В. Г., Губин С. В., Комаров И. В. Пути повышения эффективности защиты речевой информации/Вопросы защиты информации. - М.: 2000, № 4.

Приложения

Приложение 1

1 - сейф

- система отопления кабинета

Рис. 1.1. План кабинета руководителя госпредприятия

Приложение 2

Обозначения:

P - автомобильная стоянка;

- кабинет секретаря;

- кабинет руководителя отдела безопасности;

- кабинет отдыха руководителя;

КПП - контрольно-пропускной пункт

Рис. 1.2. Схема расположения здания предприятия с планом его третьего этажа

Приложение 3

Таблица 6. Типовая модель нарушителя

Приложение 4

Таблица 1.9 Модель технических каналов утечки информации

Приложение 5

Таблица 2.3 Реальность существования различных каналов утечки информации