Разработка мер совершенствования системы инженерно-технической защиты информации в конференц-зале коллекторского агентства
Оглавление
Введение
Глава 1. Анализ помещения для
проведения переговоров и совещаний как объекта защиты
.1 Обоснование выбора
помещения для проведения переговоров как объекта защиты
.2 План помещения объекта
защиты6
.3 Виды и источники
информации, циркулирующей в выделенном помещении
.4 Потенциальные угрозы и
каналы утечки информации
.5 Действующая организация
инженерно-технической защиты информации в конференц-зале
Глава 2. Теоретические основы
инженерно - технической защиты информации.
.1 Понятие и основные
направления инженерно-технической защиты информации.
.2 Методы
инженерно-технической защиты информации
Глава 3. Меры по
совершенствованию инженерно-технической защиты информации в конференц-зале
.1 Проектирование технических
мер по защите информации в защищаемом помещении
.2 Системы видеонаблюдения
.3 Проектирование
организационных мер защиты информации
.4 Оценка стоимости
оборудования для совершенствования системы защиты информации в конференц-зале
Заключение
Библиография
Приложения
Введение
В современных условиях информация играет решающую роль, как в процессе
экономического развития, так и в ходе конкурентной борьбы на внутреннем и
внешнем рынках.
Успешное функционирование и развитие предприятий все больше зависит от
совершенствования их деятельности в области обеспечения информационной
безопасности в сфере производства, бизнеса и предпринимательства.
В зависимости от способа использования информации, она может представлять
собой сырье, товар или услугу, и, в следствии правильного использования, приводит
к какой-либо материальной выгоде для ее владельца.
Таким образом, каждый собственник информации стремится сохранить ее в
тайне, создавая для этого систему защиты от несанкционированного доступа со
стороны злоумышленников. Злоумышленником, в свою очередь, может быть лицо или
организация, заинтересованные в получении возможности несанкционированного
доступа к конфиденциальной информации, предпринимающие попытку такого доступа
или совершившие его.
Совершенствование инженерно-технической защиты информации в помещение для
проведения переговоров является одной из мер защиты информации в организации.
Поскольку в конференц-зале могут обсуждаться сведения, составляющие тайну
организации или ее партнеров, которая является конфиденциальной.
Объектом исследования в данной курсовой работе является помещение для
проведения переговоров коллекторского агентства ООО «Должник».
Предмет: информационная безопасность в конференц-зале.
Цель работы - совершенствование информационной безопасности в помещение
для проведения переговоров на основе разработки мер инженерно-технической
защиты информации.
Задачи:
. Выявление угроз информационной безопасности в помещение для
проведения переговоров и совещаний.
2. Изучение теоретических основ инженерно - технической защиты
информации.
3. Разработка мер по совершенствованию инженерно-технической защиты
информации в выделенном помещении.
Глава 1.
Анализ помещения для проведения переговоров и совещаний как объекта защиты
1.1
Обоснование выбора помещения для проведения переговоров как объекта защиты
В курсовой работе рассмотрены мероприятия по совершенствованию
инженерно-технической защиты информации в помещения для проведения переговоров
и совещаний ООО «Должник», занимающаяся оказанием услуг, связанных с
коллекторской деятельностью.
Совещания являются одним из источников важной информации организации, на
которых представляются материалы по имеющимся результатам и планам работ ООО
«Должник» и сторонних организаций.
Присутствие большого количества людей и большие размеры помещений ставят
перед организацией проблему сохранения коммерческой тайны [9, с. 283]. Таким
образом, защита информации при проведении совещаний с участием представителей
сторонних организаций имеет актуальное значение и основными задачами по
обеспечению информационной безопасности является выявление и своевременная
локализация возможных технических каналов утечки информации.
1.2 План
помещения объекта защиты
Помещение для проведения конфиденциальных переговоров
и совещаний размещено на 5-м этаже 9 этажного кирпичного офисного здания. Окна
помещения выходят на многоэтажный жилой дом и офисное здание с парковочной
площадкой, на расстоянии 30 м. и 25м. соответственно (рис. 1). Вход людей в
организацию обеспечивается через контрольно - пропускной пункт (КПП). Вход в
здание через дверь, открываемую в сторону административного здания. Окна 1-го
этажа укреплены стальными решетками.
Рисунок 1. Схема расположения организации
Помещение для проведения конфиденциальных переговоров
и совещаний имеет четыре окна, выходящие на улицу и двойную дверь, без
доводчиков, в коридор, в котором могут находиться не только сотрудники
организации, но и посетители. Площадь кабинета составляет 71,25 м2.
Мебель комнаты состоит из длинного стола и стульев, которые распложены в центре
комнаты, кондиционера, доски-экрана и сейфа. Во время проведения совещания
участники располагаются за столом (рис. 2).
Рисунок 2 Схема помещения для проведения переговоров
, 2, 3, 4 - окна; 5 - кондиционер; 6 - сейф; 7 - доска
- экран; 8,9 - розетки; 10 - проектор; 11 - ПЭВМ; 10 - проектор; 12 - дверь; 13
- телефонный аппарат
Пространственная модель помещения для проведения
конфиденциальных переговоров и совещаний.
Пространственная модель представляет подробное описание помещения,
инженерных конструкций, коммуникаций и средств связи, характеристику и основные
параметры электронных устройств находящихся в этом помещении, а также
технических средств безопасности.
Таблица 1
Пространственная модель контролируемых зон
|
№
|
Пространственная характеристика помещения
|
Функциональная, конструктивная и техническая характеристика
помещения
|
|
1
|
Этаж
|
5
|
Площадь, м2
|
71,25 (9,5*7,5 м)
|
|
|
|
Высота потолков, м
|
3,30
|
|
2
|
Потолок
|
Подвесной
|
Зазор, м
|
0,3
|
|
3
|
Перекрытия (потолок, пол)
|
Железобетон
|
Толщина перекрытия, м
|
0,5
|
|
4
|
Стеновые перегородки
|
Железобетон
|
Толщина, м
|
0,5
|
|
5
|
Стены наружные
|
Железобетон
|
Толщина, м
|
0,7
|
|
6
|
Экранирование и штукатурка
|
Присутствуют
|
|
7
|
Другие материалы
|
С внутренней стороны стены отделаны под «евростандарт»
|
|
8
|
Окна
|
Количество проёмов, размер проёмов, наличие плёнок, тип
окна
|
4 окна, 2,0*1,5 м, отсутствуют, особое (с двойным
утолщенным стеклом): толщина стекла 6 мм (ОРС 18-15 В)
|
Куда выходят окна
|
На офисное здание с парковочной площадкой и многоэтажный
жилой дом
|
|
9
|
Двери
|
Количество, размер, тип
|
1 дверь, ширина 860 мм, высота 2050 мм; под проем 860 - 910
мм, металическая
|
Куда выходят двери
|
Коридор
|
|
10
|
Соседние помещения: название
|
Север - кабинет руководителя, юг - внешняя стенка, запад -
внешняя стена, восток - коридор, мужской туалет
|
|
11
|
Помещение над потолком: название
|
Адвокатская контора
|
|
12
|
Помещение под полом: название
|
Кабинет руководителя рекламного агентства
|
|
13
|
Система вентиляции
|
Тип, места размещения, размеры отверстий
|
Отсутствует
|
|
14
|
Система отопления
|
Центральное водяное, три стояка по восемь секций,
проходящие транзитом снизу вверх
|
Наличие экранов на батареях
|
Отсутствует
|
|
15
|
Цепи электропитания
|
Напряжение, В, частота, Гц, количество и тип розеток
электропитания,
|
220 В, 50Гц4 2 евророзетки с заземлением
|
|
16
|
Телефонные линии
|
Количество и тип ТА, Городская сеть, Тип проводки
|
1 шт. Panasonic - беспроводной 900 мгц,1 шт. Двухпроводные
линии
|
|
17
|
Освещение
|
Тип и количество светильников
|
Галогеновые потолочные - 6 шт.
|
|
18
|
Системы сигнализации
|
Тип и количество
|
Пожарная (дымовые и тепловые детекторы) - 2 шт.;
оповещатель комбинированный полупроводниковый - 1 шт.
|
|
19
|
Оргтехника
|
Тип и количество
|
ПЭВМ - 1 шт.
|
|
20
|
Бытовая техника
|
Тип и количество
|
Проектор - 1 шт.
|
|
21
|
Другие средства
|
Тип и количество
|
Кондиционер - 1 шт. Сейф - 1 шт. Доска - экран - 1шт.
|
|
|
|
|
|
|
|
|
|
|
|
1.3 Виды и
источники информации, циркулирующей в выделенном помещении
При проведении совещаний и переговоров с участием
представителей сторонних организаций вниманию участников совещания
предоставляются в полном объеме материалы, составляющие ту информационную базу,
на основании которой принимаются конкретные решения при обсуждении проекта
комплексной работы. В зависимости от вида предоставляются сведения, которые
могут составлять коммерческую тайну какой-либо из участвующих организаций.
Основные формы информации, представляющие интерес с
точки зрения защиты:
· документальная;
· акустическая (речевая).
Документальная информация содержится в графическом или
буквенно-цифровом виде на бумаге, а также в электронном виде на магнитных и
других носителях. Особенность документальной информации в том, что она в сжатом
виде содержит сведения, подлежащие защите [3, c. 48].
Источники документальной информации:
· документы;
· плакаты;
· модели;
· графики.
Акустическая (речевая) информация - основная часть
информации на совещании, передается посредством человеческой речи, источниками
которой являются сотрудники рассматриваемой и сторонней организации. Под
речевой информацией понимается то, что произносится участниками совещаний (обсуждения,
замечания, ремарки). Речевая информация несет в себе основную смысловую
нагрузку, так как является прямым и непосредственным выражением человеческой
мысли [11, c. 12]
Источниками речевой информации в помещении для
проведения конфиденциальных совещаний и переговоров могут быть:
· непосредственная речь участников заседания;
· люди, чья речь предварительно
записана и воспроизведена при помощи технических аудио приспособлений.
1.4
Потенциальные угрозы и каналы утечки информации
Для создания надежной системы инженерно- технической защиты информации
необходимо учитывать возможные каналы утечки информации.
На основании проведенной оценки угроз для данного защищаемого помещения
выявлены следующие актуальные каналы утечки информации:
· акустический канал - запись звука, подслушивание и прослушивание;
· оптический канал - визуальные методы, фотографирование, видео
съемка, наблюдение;
· радиоэлектронный канал - копирование полей путем снятия
индуктивных наводок;
· материально - вещественный канал - информация на бумаге или
других физических носителях информации.
Таблица 2
Возможные каналы утечки информации с объекта защиты
|
№
|
Вид канала
|
Индикаторы
|
|
1.
|
Оптический канал
|
Окно №1 со стороны офисного здания с парковочной площадкой
|
|
|
Окно №2 со стороны офисного здания с парковочной площадкой
|
|
|
Окно №3 со стороны многоэтажного жилого дома
|
|
|
Окно №4 со стороны многоэтажного жилого дома
|
|
|
Дверь в коридор
|
|
2.
|
Радиоэлектронный канал
|
Многоэтажный жилой дом
|
|
|
Офисное здание с парковочной площадкой
|
|
|
Телефон
|
|
|
Розетки
|
|
|
ПЭВМ
|
|
|
Воздушная линия электропередачи
|
|
|
Система оповещения
|
|
|
Система пожарной сигнализации
|
|
3.
|
Акустический канал
|
Дверь
|
|
|
Пол контролируемого помещения
|
|
|
Стены помещения
|
|
|
Батареи
|
|
|
Окна контролируемого помещения
|
|
4.
|
Материально-вещественный канал
|
Документы на бумажных носителях
|
|
|
Участник совещания
|
|
|
Персонал предприятия
|
|
|
Производственные отходы
|
Возможности утечки информации с совещания зависят от многих факторов,
основными из которых являются:
· возможность организации злоумышленниками каналов утечки информации;
· условия обеспечения разведывательного контакта в рамках того
или иного канала утечки информации [2, c. 89].
Канал утечки информации представляет собой физический путь от источника
коммерческой тайны к злоумышленнику (конкуренту), посредством которого может
быть реализован несанкционированный доступ к ограниченным сведениям. Для
установления канала утечки информации необходимы определенные энергетические,
пространственные и временные условия и соответствующие технические средства восприятия
и фиксации информации [7, c.
132].
В качестве основных угроз безопасности информации во время проведения
совещания выступают:
· подслушивание и несанкционированная запись речевой информации с помощью
закладных устройств, систем лазерного подслушивания, стетоскопов, диктофонов;
· регистрация на неконтролируемой территории с помощью
радиомикрофонов участниками, выполняющими агентурное задание;
· перехват электромагнитных излучений при работе
звукозаписывающих устройств и электроприборов.
Такие угрозы безопасности информации как модификация и уничтожение в
данном случае не актуальны.
1.5
Действующая организация инженерно-технической защиты информации в
конференц-зале
Для предотвращения хищения и утраты информации в помещении используется
ряд инженерно-технических мер.
К этим мерам относятся:
· средства обнаружения пожара;
· служба охраны;
· двери;
· окна;
Для обнаружения пожара в помещении для проведения переговоров установлены
пожарные извещатели и звуковая сирена (рис. 3).
Применяются два типа пожарных извещателей: дымовой, тепловой.
Рисунок 3 Схема пожарной сигнализации:
- извещатель пожарный тепловой; 2 - извещатель пожарный дымовой; 3 -
соединительные провода системы извещения; 4 - соединительные провода системы
оповещения; 5 - сирена наружная.)
За организацию и ведение пропускного режима на предприятии и охранной
деятельности отвечает служба охраны.
Дверь в выделенное помещение представлена взломостойкой дверью фирмы
«Форпост» типа 65M (см. приложение А).
Глава 2.
Теоретические основы инженерно - технической защиты информации
2.1 Понятие и
основные направления инженерно-технической защиты информации
Инженерно-техническая защита информации - одна из основных составляющих
комплекса мер по защите информации, составляющей государственную, коммерческую
и личную тайну. Этот комплекс включает нормативно-правовые документы,
организационные и технические меры, направленные на обеспечение безопасности
секретной и конфиденциальной информации. Инженерно-техническая защита
информации представляет собой достаточно быстро развивающуюся область науки и
техники на стыке теории систем, физики, оптики, акустики, радиоэлектроники,
радиотехники, электро- и радиоизмерений и других дисциплин. Круг вопросов,
которыми вынуждена заниматься инженерно-техническая защита, широк, и обусловлен
многообразием источников и носителей информации, способов и средств её
добывания, а, следовательно, и защиты.
Основным направлением инженерно-техническая защита информации является
противодействие средствам технической разведки и формирования рубежей охраны
территории, зданий, помещений, оборудования, с помощью комплексов технических
средств [5,с.158]. По функциональному назначению средства инженерно-технической
защиты делятся на следующие группы:
. Физические средства, включающие различные средства и сооружения,
препятствующие физическому проникновению (или доступу) злоумышленников на
объекты защиты и к материальным носителям конфиденциальной информации и
осуществляющие защиту персонала, материальных средств, финансов и информации от
противоправных воздействий.
К физическим средствам относятся механические, электромеханические,
электронные, электронно-оптические, радио- и радиотехнические и другие
устройства для воспрещения несанкционированного доступа (входа-выхода), проноса
(выноса) средств и материалов и других возможных видов преступных действий [8, c. 95].
Эти средства (техническая защита информации) применяются для решения
следующих задач:
· охрана территории предприятия и наблюдение за ней;
· охрана зданий, внутренних помещений и контроль за ними;
· охрана оборудования, продукции, финансов и информации;
· осуществление контролируемого доступа в здания и помещения.
2. Аппаратные средства защиты информации - это различные технические
устройства, системы и сооружения (техническая защита информации),
предназначенные для защиты информации от разглашения, утечки и
несанкционированного доступа.
Использование аппаратных средств защиты информации позволяет решать
следующие задачи:
· проведение специальных исследований технических средств на наличие
возможных каналов утечки информации;
· выявление каналов утечки информации на разных объектах и в
помещениях;
· локализация каналов утечки информации;
· поиск и обнаружение средств промышленного шпионажа;
· противодействие НСД (несанкционированному доступу) к
источникам конфиденциальной информации и другим действиям.
3. Программные средства. Программная защита информации - это система
специальных программ, реализующих функции защиты информации.
Выделяют следующие направления использования программ для обеспечения
безопасности конфиденциальной информации:
· защита информации от несанкционированного доступа;
· защита информации от копирования;
· защита информации от вирусов;
· программная защита каналов связи.
4. Криптографические средства - это специальные математические и
алгоритмические средства защиты информации, передаваемой по системам и сетям
связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов
шифрования.
Основные направления использования криптографических методов - передача
конфиденциальной информации по каналам связи (например, электронная почта),
установление подлинности передаваемых сообщений, хранение информации
(документов, баз данных) на носителях в зашифрованном виде.
2.2 Методы
инженерно-технической защиты информации
Метод совокупность приемов и операций познания и практического
преобразования действительности; способ достижения определенных результатов в
познании и практике.
Из факторов, влияющих на эффективность инженерно-технической защиты
информации, ее методы должны обеспечить реализацию следующих направлений
инженерно-технической защиты информации:
· предотвращение и нейтрализацию преднамеренных и случайных воздействий на
источник информации;
· скрытие информации и ее носителей от органа разведки
(злоумышленника) на всех этапах добывания информации.
Кроме того, учитывая, что для добывания информации злоумышленник может
использовать различные специальные средства (закладные устройства, диктофоны и
др.), третье направление включает методы обнаружения, локализации и уничтожения
и этих средств, а также подавления их сигналов.
Первое направление объединяют методы, при реализации которых:
· затрудняется движение злоумышленника или распространение стихийных сил к
источнику информации;
· обнаруживается вторжение злоумышленника или стихийных сил в
контролируемую зону и их нейтрализация.
Затруднение движения источников угроз воздействия к источникам информации
обеспечивается в рамках направления, называемого физической защитой. Физическая
защита обеспечивается методами инженерной защиты и технической охраны.
Инженерная защита создается за счет использования естественных и искусственных
преград на маршрутах возможного распространения источников угроз воздействия.
Искусственные преграды создаются с помощью различных инженерных конструкций,
основными из которых являются заборы, ворота, двери, стены, межэтажные
перекрытия, окна, шкафы, ящики столов, сейфы, хранилища. Так как любые
естественные и искусственные преграды могут быть преодолены, то для обеспечения
надежной защиты информации, как и иных материальных ценностей, необходимы
методы обнаружения вторжений в контролируемые зоны и их нейтрализации.
Эти методы называются технической охраной объектов защиты. Под объектами
защиты понимаются как люди и материальные ценности, так и носители информации,
локализованные в пространстве, К таким носителям относятся бумага, машинные
носители, фото и кино пленка, продукция, материалы и т. д., то есть все, что
имеет четкие размеры и вес.
Носители информации в виде электромагнитных и акустических полей,
электрического тока не имеют четких границ, поэтому для их защиты применяется
метод скрытия информации.
Скрытие информации предусматривает такие изменения структуры и энергии
носителей, при которых злоумышленник не может непосредственно или с помощью
технических средств выделить информацию с качеством, достаточным для
использования ее в собственных интересах.
Различают информационное и энергетическое скрытие. Информационное скрытие
достигается изменением или созданием ложного информационного портрета
семантического сообщения, физического объекта или сигнала [1,с. 292].
Информационным портретом можно назвать совокупность элементов и связей
между ними, отображающих смысл сообщения (речевого или данных), признаки
объекта или сигнала. Элементами дискретного семантического сообщения, например,
являются буквы, цифры или другие знаки, а связи между ними определяют их
последовательность. Информационными портретами объектов наблюдения, сигналов и
веществ являются их эталонные признаковые структуры.
Возможны следующие способы изменения информационного портрета:
· удаление части элементов и связен, образующих информационный узел
(наиболее информативную часть) портрета;
· изменение части элементов информационного портрета при
сохранении неизменности связей между оставшимися элементами;
· удаление или изменение связей между элементами
информационного портрета при сохранении их количества.
Другой метод информационного скрытия заключается в трансформации
исходного информационного портрета в новый, соответствующий ложной
семантической информации или ложной признаковой структуре, и
"навязывании" нового портрета органу разведки или злоумышленнику.
Такой метод защиты называется дезинформированием.
Принципиальное отличие информационного скрытия путем изменения
информационного портрета от дезинформирования состоит в том, что первый метод
направлен на затруднение обнаружения объекта с информацией среди других
объектов (фона), а второй - на создании на этом фоне признаков ложного объекта.
Дезинформирование относится к числу наиболее эффективных способов защиты
информации по следующим причинам:
· создает у владельца защищаемой информации запас времени, обусловленный
проверкой разведкой достоверности полученной информации;
· последствия принятых конкурентом на основе ложной информации
решений могут быть для него худшими по сравнению с решениями, принимаемыми при
отсутствии добываемой информации.
Однако этот метод защиты практически сложно реализовать. Основная
проблема заключается в обеспечении достоверности ложного информационного
портрета.
Эффективным методом скрытия информации является энергетическое скрытие.
Оно заключается в применении способов и средств защиты информации, исключающих
или затрудняющих выполнение энергетического условия разведывательного контакта.
Энергетическое скрытие достигается уменьшением отношения энергии
(мощности) сигналов, т.е. носителей (электромагнитного или акустического полей
и электрического тока) с информацией, и помех.
Уменьшение отношения сигнал/помеха возможно двумя методами:
· снижением мощности сигнала;
· увеличением мощности помехи на входе приемника.
Воздействие помех приводит к изменению информационных параметров
носителей: амплитуды, частоты, фазы. Если носителем информации является
амплитудно-модулированная электромагнитная волна, а в среде распространения
канала присутствует помеха в виде электромагнитной волны, имеющая одинаковую с
носителем частоту, но случайную амплитуду и фазу, то происходит интерференция
этих волн. В результате этого значения информационного параметра (амплитуды
суммарного сигнала) случайным образом изменяются и информация искажается. Чем
меньше отношение мощностей, а следовательно, амплитуд, сигнала и помехи, тем
значительнее значения амплитуды суммарного сигнала будут отличаться от исходных
(устанавливаемых при модуляции) и тем больше будет искажаться информация.
Атмосферные и промышленные помехи, которые постоянно присутствуют в среде
распространения носителя информации, оказывают наибольшее влияние на амплитуду
сигнала, в меньшей степени - на его частоту. Но ЧМ-сигналы имеют более широкий
спектр частот. Поэтому в функциональных каналах, допускающих передачу более
широкополосных сигналов, например, в УКВ диапазоне, передачу информации
осуществляют, как правило ЧМ сигналами как более помехоустойчивыми, а в
узкополосных ДВ, СВ и КВ диапазонах - АМ сигналами [6, c. 193].
В общем случае качество принимаемой информации ухудшается с уменьшением
отношения сигнал/помеха. Характер зависимости качества принимаемой информации
от отношения сигнал/помеха отличается для различных видов информации
(аналоговой, дискретной), носителей и помех, способов записи на носитель (вида
модуляции), параметров средств приема и обработки сигналов.
Наиболее жесткие требования к качеству информации предъявляются при
передаче данных (межмашинном обмене): вероятность ошибки знака по плановым
задачам, задачам статистического и бухгалтерского учета оценивается порядка -
10-5-10-6, но денежным данным 10-8-10-9. Для сравнения, в телефонных каналах
хорошая слоговая разборчивость речи обеспечивается при 60-80%, т.е. требования
к качеству принимаемой информации существенно менее жесткие. Это различие
обусловлено избыточностью речи, которая позволяет при пропуске отдельных звуков
и даже слогов восстанавливать речевое сообщение. Вероятность ошибки знака 10-5
достигается при его передаче двоичным АМ сигналом и отношении мощности сигнала
к мощности флуктуационного шума на входе приемника приблизительно 20, при
передаче ЧМ сигналом - около 10. Для обеспечения разборчивости речи порядка 85%
превышение амплитуды сигнала над шумом должно составлять около 10 дБ, для
получения удовлетворительного качества факсимильного изображения -
приблизительно 35 дБ, качественного телевизионного изображения - более 40 дБ.
В общем случае при уменьшении отношения сигнал/помеха до единицы и менее
качество информации настолько ухудшается, что она не может практически
использоваться. Доля конкретных видов информации и модуляции сигнала существуют
граничные значения отношения сигнал/помеха, ниже которых обеспечивается
энергетическое скрытие информации.
Так как разведывательный приемник в принципе может быть приближен к
границам контролируемой зоны организации, то значения отношения сигнал/помеха
измеряются, прежде всего, на границе этой зоны. Обеспечение на границе зоны
значений отношения сигнал/помеха ниже минимально допустимой величины
гарантирует безопасность защищаемой информации от утечки за пределами
контролируемой зоны.
инженерный технический защита информация
Глава 3. Меры
по совершенствованию инженерно-технической защиты информации в конференц-зале
Надежная система безопасности достигается проектно- архитектурными
решениями, проведением организационных и технических мероприятий, а также
выявлением портативных электронных устройств перехвата информации [4, c. 265].
3.1
Проектирование технических мер по защите информации в защищаемом помещении
Техническое мероприятие - это мероприятие по защите информации,
предусматривающее применение специальных технических средств, а также
реализацию технических решений. Технические мероприятия направлены на закрытие
каналов утечки информации [10, c.
18].
К техническим мероприятиям с использованием пассивных средств относятся:
Контроль и ограничение доступа:
· установка на объектах ОТСС и в помещении для переговоров технических
средств и систем ограничения и контроля доступа.
Управление доступом - это способ защиты информации регулированием всех
ресурсов системы (технических, программных средств, элементов данных).
Системой контроля и управлением доступа решаются следующие задачи:
· контроля и управления доступом сотрудников и посетителей в помещение для
проведения конфиденциальных переговоров;
· автоматического ведения баз данных доступа в пределах
защищаемого объекта.
Локализация излучений:
· заземление ОТСС и экранов их соединительных линий;
· звукоизоляция помещения.
Развязывание информационных сигналов:
· установка автономных или стабилизированных источников электропитания
ОТСС;
· установка устройств гарантированного питания ОТСС;
· установка в цепях электропитания ОТСС, а также в линиях
осветительной и розеточной сетей помещения для переговоров помехоподавляющих
фильтров.
К мероприятиям с использованием активных средств относятся:
· поиск закладных устройств с использованием индикаторов поля
При проектировании системы ИТЗИ в коммерческой фирме следует учитывать,
что деятельность любой коммерческой организации направлена на получение
максимальной прибыли при минимальных издержках. В связи с этим следует
максимально использовать возможности уже имеющейся на фирме СИТЗИ и предложить
для ее совершенствования минимум инженерно-технических средств, к тому же, не
требующих значительных финансовых затрат.
Для построения СИТЗИ рассмотренного объекта от утечки информации по
техническим каналам, можно предложить следующие средства и системы защиты:
Защита речевой информации
Для осуществления полной защищенности акустической (речевой) информации
при проведении совещания в рассматриваемой организации, необходимо применение в
комплексе последующих предложенных рекомендаций.
Для защиты акустической (речевой) информации используются активные и
пассивные методы и средства:
. Энергетическое скрытие путем:
· звукоизоляции акустического сигнала;
· звукопоглощения акустической волны;
· глушения акустических сигналов;
· зашумления помещения или твердой среды распространения
другими широкополосными звуками, которые обеспечивают маскировку акустических
сигналов.
2. Обнаружение, локализация и изъятие закладных устройств.
Пассивные способы защиты
К пассивным методам относится звукоизоляция и экранирование.
В условиях совещания неуместно уменьшение громкости речи, поэтому для
защиты такой информации следует применять звукоизоляцию, звукопоглощение и
глушение звука.
Звукоизоляция локализует источники акустических сигналов в замкнутом пространстве,
в данном случае в комнате для переговоров. Основное требование к звукоизоляции:
за пределами комнаты соотношение сигналов/помеха не должно превышать
максимально допустимые значения, исключающие добывание информации
злоумышленниками [12].
Применительно к рассматриваемому объекту, необходима звукоизоляция
оконных проемов дверей, а также использование звукоизолирующих покрытий.
Во избежание утечки акустической информации с помощью лазерного
устройства съема информации со стекла рекомендуется покрыть окна
металлизированной пленкой и установить жалюзи.
Кроме окон и дверей, утечка акустической информации в рассматриваемом
помещении возможна по обогревательным батареям . Для предотвращения утечки
информации по отопительным системам необходимо использование экранирования
батарей. Экраны изготовляются в основном из алюминия и покрываются сверху слоем
пенопласта или какого-либо другого изолирующего материала.
Звукоизоляцию в помещении можно повысить применив звукопоглощающие
материалы.
Так как для достижения наибольшей эффективности снижения уровня опасного
сигнала площадь акустической отделки помещений должна составлять не менее 60%,
то для защиты помещения лучше всего применить для отделки стен и потолка панели
из пенопласта (с зазором 3 мм).
Кроме пассивных методов, рассмотренных выше, целесообразно применение и
активных методов, например, генераторы шума.
Одним из распространенных генератором шума является устройство «Порог-2М»
НИИСТ МВД России ,предназначенный для защиты служебных помещений от
подслушивания при помощи радиотехнических, лазерных, акустических и других
средств [13]. Позволяет защищать от утечки информации через стены, окна, трубы
отопления и водоснабжения, вентиляционные колодцы и т. п.
Устройство работает в режиме «дежурного приема», то есть включается
только в случае, если в защищенном помещении начинается разговор.
Другим, аналогичным по назначению устройством, является изделие «Кабинет»
СНПО «Элерон», предназначенное для предотвращения прослушивания речевой
информации за пределами защищаемого помещения. Принцип действия основан на
создании маскирующего вибрационного шума в ограждающих конструкциях и
акустического шума в объеме помещения и вне его.
В целом, как показывает практика, применение описанных генераторов шума
не нарушает комфортности при работе в защищенном с их помощью помещении.
Однако, с точки зрения полной комфортности работы человека в помещении, по
мнению специалистов, является комплекс виброакустической защиты «Барон» (см.
приложение Б), в котором реализованы возможности по оптимальной настройке
помехового сигнала. Имеющаяся в комплексе система настройки спектра помехи
(эквалайзер) позволяет обеспечить необходимое превышение уровня помехи над
уровнем речевого сигнала при минимальном воздействии на людей, то есть создать
оптимальную помеху. Использование именно этого генератора рекомендуется для
рассматриваемой комнаты для совещаний.
Защита радиоэлектронного канала
Для защиты линий осветительной и розеточной сетей в помещения для
переговоров предлагается установить помехоподавляющих фильтр.
В настоящее время существует большое количество различных типов фильтров,
обеспечивающих ослабление нежелательных сигналов в разных участках частотного
диапазона. Это фильтры нижних и верхних частот, полосовые и помехоподавляющие
фильтры и т.д. Основное назначение фильтров - пропускать без значительного
ослабления сигналы с частотами, лежащими в рабочей полосе частот, и подавлять
(ослаблять) сигналы с частотами, лежащими за пределами этой полосы. Наиболее
надежные и экономически выгодные фильтры серии ФП.
Фильтр сетевой помехоподавляющий ФП-10
Сетевой помехоподавляющий фильтр ФП-10 предназначен для подавления
побочных электромагнитных излучений и наводок (ПЭМИН) в цепях электропитания,
сигнализации, контроля, а также организации ввода этих цепей в защищаемые и
экранированные сооружения, помещения, камеры, контейнеры [18]. ФП-10
предотвращает утечки информации по цепям электропитания, а также защищает
средства оргтехники от внешних помех (см. приложение В).
Для полного устранения наводок от ТСПИ предлагается произвести
экранирование помещения.
Теоретически, с точки зрения стоимости материала и простоты изготовления,
преимущества на стороне экранов из листовой стали. Однако применение сетки
значительно упрощает вопросы вентиляции и освещения. Чтобы решить вопрос о
материале экрана, необходимо знать, во сколько раз требуется ослабить уровни
излучения ТСПИ. Чаще всего это между 10 и 30 раз. Такую эффективность
обеспечивает экран, изготовленный из одинарной медной сетки с ячейкой 2,5 мм,
либо из тонколистовой оцинкованной стали толщиной 0,51 мм и более.
Металлические листы (или полотнища сетки) должны быть между собой
электрически прочно соединены по всему периметру, что обеспечивается
электросваркой или пайкой. Двери помещений также необходимо экранировать, с
обеспечением надежного электроконтакта с дверной рамой по всему периметру не
реже, чем через 10-15 мм. Для этого применяют пружинную гребенку из фосфористой
бронзы, укрепляя ее по всему внутреннему периметру дверной рамы. При наличии в
помещении окон их затягивают одним или двумя слоями медной сетки с ячейкой не
более чем 2х2 мм, причем расстояние между слоями сетки должно быть не менее 50
мм. Оба слоя должны иметь хороший электроконтакт со стенками помещения
посредством все той же гребенки из фосфористой бронзы, либо пайкой (если сетка
несъемная).
Поиск закладных устройств
Поиск закладных устройств целесообразно и экономически выгодно
производить при помощи индикаторов поля «ЛИДЕР 3G».
Функциональные возможности антижучка «ЛИДЕР 3G»:
. Обнаружение и определение местоположения беспроводных радиоустройств
съема информации - жучков.
Детектор оснащен внешней антенной, сегментным индикатором уровня сигнала
и широкополосным усилителем с плавной регулировкой коэффициента усиления.
Особенностью прибора, выделяющей его из линейки подобных приборов, является
специальное схемное решение приемника и возможность настройки на каждое
конкретное помещение с учетом его электромагнитного фона. Сегментный индикатор
позволяет определять, приближается или отдаляется от источника сигнала
оператор, обследующий помещение. Благодаря этому поиск «жучка» значительно
облегчается и ускоряется. Встроенный усилитель, увеличивающий чувствительность,
позволяет оперативно оценить общую радиообстановку в помещении. Прибор имеет
самый широкий диапазон 50 МГц до 3 ГГц.
. Генератор белого шума - создающий эффективную защиту (слышимую
акустическую помеху) от цифровых и пленочных диктофонов, радиомикрофонов,
проводных микрофонов, стетоскопов, направленных сверхчувствительных микрофонов,
спикерфонов телефонных аппаратов. Прибор генерирует акустический (реально
слышимый) шум в частотном диапазоне речи человека, что не позволяет
подслушивающим приборам снимать информацию (производить запись разговоров).
Звуковая помеха накладывается на звукозапись и существенно ухудшает ее
качество. Благодаря равномерному распределению шума во всем диапазоне,
последующая очистка и коррекция записи, а также компьютерная обработка
звукозаписи очень затруднительны.
3. Подавление мобильных телефонов и прослушивающих устройств
работающих на частотах GSM 900/1800 МГц и 3G 2100 МГц.
Детектор имеет встроенный подавитель устройств негласного съема
информации. Зона эффективного действия изделия зависит от расстояния до
ближайшей базовой станции сети мобильной связи и составляет до 8 метров в
радиусе от изделия [17].
3.2 Системы
видеонаблюдения
Для обеспечения надёжной защиты помещения для проведения переговоров
требуется постоянный контроля за ним, что приводит к необходимости установки
системы видеонаблюдения на территории ООО «Должник», в виду того, что в
установка системы видеонаблюдения в помещении для проведения переговоров
приведет к созданию угрозы получения информации через мониторы на пульте охраны
или при взломе и подключении к системе, камеры наблюдения устанавливают вне
помещения (для контроля за путями проникновения).
Система видеонаблюдения (закрытые системы кабельного телевидения, CCTV) -
система аппаратно-программных средств, предназначенная для осуществления
видеонаблюдения [19].
Основной функцией данных систем является:
· повышение уровня безопасности и контроля за ситуацией на объекте;
· помощь в расследовании разнообразных инцидентов, имевших
место на объекте наблюдения.
Существующие решения в области систем охранного видеонаблюдения весьма
разнообразны. Как следствие возможны разные классификации систем в зависимости
от выбранного критерия.
Наиболее общей классификацией является разделение систем видеонаблюдения
по характеру используемого технического обеспечения, программного и
аппаратного. В данной классификации существуют три типа систем:
· к первому типу относятся системы видеонаблюдения, построенные на
специализированном оборудовании. Как правило, это аналоговые системы со
специализированным программным и аппаратным обеспечением. Их отличает высокая
надежность за счет использования специального оборудования, имеющего
сертификацию и гарантию фирмы производителя. Однако обслуживание подобных
систем возможно только с привлечением квалифицированных специалистов и
специализированных сервисных центров. Важным преимуществом аналоговых систем
охранного наблюдения над цифровыми является более низкая стоимость. Однако по
некоторым техническим параметрам они уступают цифровым системам (например,
время отклика на движущийся объект у аналоговых систем ниже);
· ко второму типу в данной классификации относятся более
современные цифровые системы видеонаблюдения. Их также можно разделить на
несколько типов. Например, по месту оцифровки видеосигнала: на камере,
видеорегистраторе или выделенном сервере. К особенностям подобных решений
относится более простое масштабирование систем охранного видеонаблюдения.
Использование распространенного типового программного и аппаратного обеспечения
является несомненным плюсом данного вида систем с точки зрения сопровождения и
ремонта. Также стоит отметить, что цифровой тип систем охранного
видеонаблюдения легче интегрируется в существующую инфраструктуру безопасности,
например, в системы контроля доступа. Например, можно запрограммировать реакцию
других систем безопасности по наступлению некоторого события (например,
появлению в кадре движущегося объекта);
· в отдельный тип можно выделить набирающую популярность
технологию IP видеонаблюдения. Отличительной чертой является использование
распространенного оборудования и персональных компьютеров в качестве хранилищ и
обработчиков поступающих данных. При этом возможна тесная интеграция с
существующей сктруктурированной кабельной системой (СКС) здания для передачи
оцифрованных данных (как правило, оцифровка производится на камере).
Современные IP видеокамеры могут иметь встроенный модуль Wi-Fi, с помощью
которого можно осуществлять беспроводную передачу данных на сервер, отвечающий
за сбор, обработку, хранение и выдачу информации. Данный тип организации удобен
для внутренних систем охранного видеонаблюдения, однако зависим от типового
оборудования (персональных компьютеров) и существующей кабельной системы.
Немаловажным преимуществом IP видеонаблюдения является возможность удаленного
наблюдения за состоянием объектов через глобальные сети с различных устройств
(в том числе мобильных).
У каждого из приведенных выше типов систем видеонаблюдения есть свои
сильные и слабые стороны, особенности, которые следует принимать во внимание
еще на стадии проектирования и монтажа [15].
В коллекторском агентстве необходимость постоянного контроля за
помещением для переговоров и непосредственный доступ к видеоматериалу является
основополагающим, исходя из этого выбор систем видеонаблюдения останавливается
на цифровом, потому что цифровые системы видеонаблюдения позволяют:
· обрабатывать с высокой скоростью потоки видеоинформации , и
характеристики обработки постоянно улучшаются благодаря росту
производительности компьютерной техники;
· возможность просмотра с удаленного ПК реальной обстановки или
видеоархива через Internet;
· организация любого количества рабочих мест
операторов-охранников подключением к сети персональных компьютеров;
· ограничение доступа к архивам и управлению системы через
пароли с различными правами доступа;
· удобное управление архивами записанной видеоинформации и
администрирование системы мгновенный поиск по заданным условиям (например дате,
номеру камеры);
· осуществлять редактрование информации, печать кадров прямо с
ПК на принтер без применения специальной дорогостоящей аппаратуры.
Одной из лучших систем цифрового видеонаблюдения на рынке является
система «Видеолокатор» , которую я и предлагаю использовать в данной
организации.
Цифровая система видеонаблюдения и аудиорегистрации «Видеолокатор» - это
программно-аппаратный комплекс, состоящий из оборудования видео-аудиозахвата и
программного обеспечения для персонального компьютера.
«Видеолокатор» поддерживает целый ряд устройств оцифровки видеосигнала
различных типов: платы видеозахвата с программной и аппаратной компрессией,
IP-видеосерверы, IP-видеокамеры различных производителей, WEB камеры,
IP-аудиосерверы дуплексной аудиосвязи. Все устройства могут работать совместно
в одном видеосервере, решая задачу заказчика наиболее оптимально. Существуют
версии программного обеспечения для операционных систем Windows и Linux.
Видеопоток, транслируемый IP-видеосерверами, может быть записан StandAlone
сетевым видеорегистратором Видеолокатор NVR.
Построение распределенных систем
Система имеет открытую сетевую архитектуру, позволяющую объединять в
одной сети неограниченное количество видеосерверов. В любой точке сети
одинаково легко доступен весь функционал любого видеосервера, как при помощи
серверного программного обеспечения, так и при помощи бесплатного программного
обеспечения «Видеолокатор - клиент». Существует клиент для мобильного телефона
и КПК «Видеолокатор Мобайл» с функциями просмотра реального видео, видеоархива,
управления датчиками и исполнительными устройствами, подключенными к видеосерверу.
«Видеолокатор» эффективно использует имеющуюся пропускную способность
сети, автоматически регулируя размер потока в зависимости от ширины канала, что
особенно важно при работе через сеть Интернет.
Видеорегистрация
«Видеолокатор» умеет сохранять видеоинформацию в форматах MPEG2, MPEG4,
H.264, MJPEG на выбор. Размер кадра составляет от 3 до 15 Кб. Существует пред-
и посттревожная запись. Видеоархив может быть скопирован с целью просмотра на
другом компьютере, экспортирован в формат AVI или перенесен в журнал
происшествий для исключения циклической перезаписи. Несколько режимов
оптимизации размера архива по каждому каналу позволяют эффективно использовать
дисковое пространство. В качестве хранилища видеоинформации могут быть
использованы сетевые дисковые массивы.
Работа с видеоизображением
«Видеолокатор» имеет функции аппаратного и программного деинтерлейсинга
видеоизображения, умеет автоматически управлять яркостью и контрастностью в
зависимости от освещенности сцены, функция «люксметр» позволяет автоматически
активировать предустановленные настройки яркости и контрастности.
Детектор движущихся объектов
«Видеолокатор» оснащен технологией распознавания и отслеживания
движущихся объектов FineTrack™, которая позволяет определять направление
движения объекта, скорость, предсказывать траекторию движения, эффективно
отслеживать медленные движения и детектировать оставленные предметы.
Минимальный размер отслеживаемой цели- 4 пикселя. Технология FineTrack™
эффективно отсеивает помехи от снега, дождя, качающейся листвы, не реагирует на
блики и смену освещенности.™ умеет автоматически сопровождать движущиеся цели,
управляя скоростной поворотной видеокамерой. Используя технологию FineDome™,
оператор может навести поворотную видеокамеру на объект интереса одним кликом
мыши, используя для целеуказания как окно с видеоизображением, так и
графический план территории.
Функции распознавания
Модуль «Видеолокатор: Аутентификация по лицу» умеет распознавать лица
людей с целью поиска террористов и лиц, находящихся в розыске. При интеграции
со СКУД «СтилПост» этот модуль можно использовать в системе контроля и
управления доступом.
Модуль распознавания автомобильных номеров «АвтоВидеолокатор» может
решать задачи регистрации транспортных средств. Интегрируясь со СКУД «СтилПост»,
«АвтоВидеолокатор» решает задачи контроля и управления доступом. При решении
задач обеспечения безопасности дорожного движения - контроля превышения
скорости, пересечения сплошной линии, контроля направления движения, рядности,
правильности парковки - «АвтоВидеолокатор» обеспечивает привязку факта
нарушения к конкретному автомобилю.
Интерфейс пользователя
«Видеолокатор» использует стандартный оконный интерфейс системы Windows,
понятный любому пользователю ПК. Видеоканалы реального времени, видеоархивы, графические
планы выводятся в отдельных окнах. Окна могут масштабироваться и перекрывать
друг друга. Каждое окно имеет кнопки управления, позволяющие включать детектор
движения, сохранять кадр, управлять видеоархивом и т.д. Группы окон можно
объединять в раскладки, управляя отображением раскладки одной кнопкой.
«Видеолокатор» позволяет создавать графические планы и размещать на них
пиктограммы оборудования, входящего в систему безопасности. Данный функционал
дает возможность не только видеть текущее состояние устройств, но и управлять
ими - включать запись, ставить датчики на охрану, включать уличное освещение,
открывать шлагбаум и т.д.
«Видеолокатор» поддерживает полноценную работу с несколькими мониторами.
Первоначальная настройка системы «Видеолокатор» проста и доступна даже
начинающему пользователю.
Безопасность
Разграничение доступа к системе обеспечивает многоуровневая система
авторизации, видеоархив и сетевой трафик шифруются. Имеется режим «Без доступа
к операционной системе», исключающий нецелевое использование видеосервера
оператором системы.
3.3
Проектирование организационных мер защиты информации
Организационная защита информации - это регламентация производственной
деятельности и взаимоотношений исполнителей на нормативно-правовой основе,
исключающей или существенно затрудняющей неправомерное овладение
конфиденциальной информацией, и включает в себя организацию режима охраны,
организацию работы с сотрудниками, с документами, организацию использования
технических средств и работу по анализу угроз информационной безопасности.
Организационная защита включает в себя:
· категорирование и аттестация объектов ОТСС и выделенных для проведения
закрытых мероприятий помещений по выполнению требований обеспечения защиты
информации при проведении работ со сведениями соответствующей степени
секретности;
· использование на объекте сертифицированных ОТСС и ВТСС;
· установление контролируемой зоны вокруг объекта;
· привлечение к работам по строительству, реконструкции
объектов ОТСС, монтажу аппаратуры организаций, имеющих лицензию на деятельность
в области защиты информации по соответствующим пунктам;
· организация контроля и ограничение доступа на объекты ОТСС и
в выделенные помещения;
· формирования и организация деятельности службы безопасности;
· разработку положения о коммерческой тайне;
· отключение на период закрытых мероприятий технических
средств, имеющих элементы, выполняющие роль электроакустических
преобразователей, от линий связи [14].
Для надежной защиты информации при проведении конфиденциальных переговоров
и совещаний предлагаются следующие организационные меры:
. Подготовку конфиденциального совещания осуществляет организующий его
руководитель с привлечением сотрудников фирмы, допущенных к работе с конкретной
ценной информацией, составляющей тайну фирмы или ее партнеров. Из числа этих
сотрудников назначается ответственный организатор, планирующий и координирующий
выполнение подготовительных мероприятий и проведение самого совещания.
2. В процессе подготовки конфиденциального совещания составляются
программа проведения совещания, повестка дня, информационные материалы, проекты
решений и список участников совещания по каждому вопросу повестки дня.
. Все документы, составляемые в процессе подготовки
конфиденциального совещания, должны иметь гриф “конфиденциально”, составляться
и обрабатываться в соответствии с требованиями инструкции по обработке и
хранению конфиденциальных документов. Документы (в том числе проекты договоров,
контрактов и др.), предназначенные для раздачи участникам совещания, не должны
содержать конфиденциальные сведения. Эта информация сообщается участникам
совещания устно при обсуждении конкретного вопроса.
. Перед проведением совещания необходимо проводить визуальный
осмотр помещения на предмет выявления закладных устройств. Осмотр должен
проводиться систематизировано и тщательно, обращая внимание на любую мелочь, на
первый взгляд незначительную: наличие посторонних предметов, бытовой аппаратуры
или предметов интерьера. Осмотр по возможности, должен проводиться сотрудником
службы безопасности и человеком, хорошо знакомым с обычной обстановкой зала,
например, сотрудником охраны.
. Непосредственно перед проведением совещания охрана должна
осматривать прилегающие к комнате для совещаний помещения, на предмет удаления
из них сотрудников или посторонних лиц, которые могут вести подслушивание
непосредственно через систему вентиляционных коммуникаций или через стену при
помощи специальной аппаратуры; закрывать эти помещения на время проведения
совещания и вести контроль за доступом в них.
. Доступ участников конфиденциального совещания в помещение, в
котором оно будет проводиться, осуществляет ответственный организатор совещания
под контролем службы безопасности в соответствии с утвержденным списком и
предъявляемыми участниками персональными документами. Перед началом обсуждения
каждого вопроса состав присутствующих корректируется. Нахождение (ожидание) в
помещении лиц, в том числе сотрудников данной фирмы, не имеющих отношения к
обсуждаемому вопросу, не разрешается.
. Целесообразно, ознакомление участников с положением о
коммерческой тайне (см. приложение Г).
. Вход посторонних лиц во время проведения совещания должен быть
запрещен.
. Должна быть четко разработана охрана выделенного помещения во
время совещания, а также наблюдение за обстановкой на этаже. Во время
проведения закрытого совещания необходимо не допускать близко к дверям комнаты
никого из посторонних лиц или сотрудников организации. Стоя под дверью, или
поблизости от нее, злоумышленник может подслушать то, о чем говориться в
комнате. Особенно это вероятно в те моменты, когда кто-то входит или выходит из
зала, так как на то время, пока дверь остается открытой, разборчивость речи
резко повышается. Помимо этого, выходя или входя, человек может не совсем
плотно закрыть за собой дверь, что также повысит разборчивость речи. Для
реализации этой меры необходимо, чтобы в течение всего времени, которое длится
совещание, у двери комнаты дежурил охранник, осуществляющий контроль за дверью
и коридором около входа в комнату, а также следить за тем, чтобы никто из
посторонних не проник внутрь.
10. Для большей надежности, у дверей зала должен дежурить охранник из
постоянного штата организации, так как подобное дежурство создает возможность
подслушивания непосредственно охранником.
11. Документы, принятые на совещании, оформляются, подписываются, при
необходимости размножаются и рассылаются (передаются) участникам совещания в
соответствии с требованиями по работе с конфиденциальными документами фирмы.
Все экземпляры этих документов должны иметь гриф ограничения доступа. Рассылать
документы, содержащие строго конфиденциальную информацию, не разрешается.
. После проведения совещания комната должна тщательно
осматриваться, закрываться и опечатываться.
. Любые работы в комнате, проводимые вне времени проведения конфиденциальных
совещаний, например: уборка, ремонт бытовой техники, мелкий косметический
ремонт, должен проводиться в обязательном присутствии сотрудника службы
безопасности. Наличие этих сотрудников поможет обезопасить помещение от
установки подслушивающих устройств сотрудниками организации или же посторонними
лицами (электромантер, рабочие, уборщица и так далее).
. Между совещаниями комната должна быть закрыта и опечатана
ответственным лицом. Ключи от комнаты должны быть переданы дежурной смене
охраны под расписку и храниться в комнате охраны, доступ к ним должен быть
регламентирован руководством.
Перечисленные меры организационной защиты информации в комнате для
совещаний считаются весьма действенными и не несут серьезных материальных
затрат или проблем с персоналом и могут применяться как отдельно, так и
совместно, что позволит значительно повысить степень защиты информации
рассматриваемого объекта.
Применение всего комплекса перечисленных организационных и технических
мер по защите, обеспечит надлежащий уровень защиты информации, циркулирующей в
комнате для проведения переговоров.
3.4 Оценка
стоимости оборудования для совершенствования системы защиты информации в
конференц-зале
Таблица 3
Стоимость оборудования для совершенствования системы защиты информации
|
№
|
Наименование
|
Количество
|
Стоимость
|
|
1
|
Генератор шума «Барон»
|
1
|
32500.00 руб.
|
|
2
|
Фильтр сетевой помехоподавляющий ФП-10
|
1
|
23000.00 руб.
|
|
3
|
Индикаторов поля «ЛИДЕР 3G»
|
1
|
18500.00 руб.
|
|
4
|
Система видеонаблюдения и аудиорегистрации «Видеолокатор»
|
1
|
58000.00 руб.
|
|
5
|
Защитная пленка
|
4
|
5000.00 руб.
|
|
6
|
Жалюзи
|
4
|
7000.00 руб.
|
|
7
|
Декоративные экраны на батареи
|
3
|
2500.00 руб.
|
|
8
|
Экранирование
|
|
60000.00 руб.
|
|
8
|
Итого:
|
|
206500.00 руб.
|
Для коллекторского агентства ООО «Должник» цена не является проблемой,
что дает возможность для использования новейших технологий в сфере защиты
информации. Следовательно можно сделать вывод, что затраты на покупку
предложенного оборудования для совершенствования системы защиты информации в
конференц-зале ООО «Должник» являются приемлемыми для данной организации.
Заключение
В рамках данной курсовой работы были получены следующие результаты:
. Проведен анализ предприятия на предмет выявления угроз.
Были определены основные угрозы безопасности информации во время
проведения переговоров:
· подслушивание и несанкционированная запись речевой информации с помощью
закладных устройств, систем лазерного подслушивания, стетоскопов, диктофонов;
· регистрация на неконтролируемой территории с помощью
радиомикрофонов участниками, выполняющими агентурное задание;
· перехват электромагнитных излучений при работе
звукозаписывающих устройств и электроприборов.
Для данного коллекторского агентства выявлены наиболее опасные
технические каналы утечки информации: оптический, материально-вещественный,
акустический, радиоэлектронный.
. Была рассмотрена действующая организация инженерно-технической защиты
информации в конференц-зале.
Изучены теоретические основы построения инженерно-технической защиты
информации.
Рассмотрен теоретический материал по инженерно-технической защите
информации. Определены меры и средства по обеспечению инженерно-технической
защиты информации.
. Разработаны меры по совершенствованию инженерно-технической защиты
информации.
Были выделены рубежи защиты:
· дверь в конференц-зал;
· окна в помещение организации;
· система отопления;
· линии электросетей;
· человеческий фактор.
Для каждого рубежа предложены соответствующие технические меры и средства
защиты.
В работе предложен ряд организационных мер для защиты данных в помещении
для переговоров ООО «Должник»
Произведена оценка стоимости оборудования для совершенствования системы
инженерно-технической защиты информации в конференц-зале.
Библиография
1. Торокин
А.А. Инженерно-техническая защита информации [Текст] // М.: Гелиос АРВ, 200 5
958 с.
2. Защита
от утечки информации по техническим каналам [Текст] // Бузов Г.А., Калинин
С.В., Кондратьев А.В. - М.: Горячая линия - Телеком, 2002. - 414 с.
. Правовое
обеспечение системы защиты информации на предприятии [Текст]: учеб. пособие //
Демин В., Свалов В 2008 - 190 с.
4. Завгородний,
И.В. Комплексная защита информации [Текст] // Логос, 2001г. - 370с.
. Машкина,
И.В. Курс лекций по инженерно-технической защите информации [Текст] // УГАТУ,
2007г - 450с.
. Рембовский,
А.М. Выявление технических каналов утечки информации [Текст] // Вестник МГТУ,
2003г.- 270с.
7. Хорев,
А.А. Защита информации от утечки по техническим каналам. Технические каналы
утечки информации [Текст]: учеб. пособие //А.А. Хорев; Гостехкомиссия России,
1998.- 320 с.
8. Хорев А.А.
Способы и средства защиты информации [Текст]: учеб. пособие // М.: МО РФ, 2000
9. Защита
информации в офисе [Текст]: учеб. пособие // И.К. Корнеев, Е.А. Степанов. - М.:
Проспект, 2008. - 336 с.
10. Бузов
Г.А. Специальная Техника [Текст]: журнал // № 5, 2005.
11. Хорев
А.А. Специальная Техника [Текст]: журнал // № 5, 2009.-
. Интернет-проект
ООО «Научно-Производственный Центр Аналитика» [Электронный ресурс]: - Режим
доступа: #"564137.files/image004.gif">
Комплектация двери:
· толщина двери 80 мм;
· 4 контура уплотнения;
· дополнительная тепло- и шумоизоляция;
· 5-ти канальная система запирания;
· цилиндр MASTER-LOCK 5+1+5 АнтиБампинг;
· комплексная защита цилиндра ЩИТ2; фурнитура ML 200;
· дополнительный сувальдный замок ;
· скрытые регулируемые петли, угол открывания 107-110 градусов;
· с внутренней стороны МДФ панель из натурального шпона,
повторяющая рисунок штампа двери, цвет "темный орех";
· текстурное покрытие нового поколения;
· замок системы No key (без ключа);
· подсветка ключа Masterlight;
· складной сувальдный ключ.
Комплексная защита цилиндра "Щит-2
Усиленная фурнитура и бронечашка цилиндра. Специальная конструкция и
способ защиты цилиндрового механизма замка обеспечивают наивысшую защиту от
механического воздействия. Использование специальных сплавов, бронепластин и
бронечашек в конструкции фурнитуры, отсутствие доступа к элементам крепления,
соединяющим ее части с внутренней и наружной сторон дверей, обеспечивают
невозможность непосредственного воздействия на замок и циллиндр сверлом или
кувалдой. Замок MasterLock
Новая серия замков Masterlock с системой «no key» (без ключа) позволяет
быстро закрыть или открыть дверь. Это очень удобно как в повседневном
использовании, так и в случае возникновения экстренной ситуации. С поднятием
ручки вверх (с внешней стороны) дверь автоматически закрывается на все ригеля;
с опусканием вниз (с внутренней стороны) - автоматически открывается.
Габаритные размеры:
· ширина 860 мм, высота 2050 мм; под проем 860 - 910 мм.
Приложение Б
Комплекс виброакустической защиты «БАРОН»
Назначение:
Для защиты объектов информатизации 1 категории и противодействия
техническим средствам перехвата речевой информации (стетоскопы, направленные и
лазерные микрофоны, выносные микрофоны) по виброакустическим каналам (наводки
речевого сигнала на стены, пол, потолок помещений, окна, трубы отопления,
вентиляционные короба и воздушная звуковая волна).
Имеет четыре канала формирования помех, к каждому из которых могут
подключаться вибропреобразователи пьезоэлектрического или электромагнитного
типа, а также акустические системы, обеспечивающие преобразование
электрического сигнала, формируемого прибором, в механические колебания в
ограждающих конструкциях защищаемого помещения, а также в акустические
колебания воздуха.
Сертификат Гостехкомиссии РФ
Достоинства:
. Полностью цифровое управление.
2. Интеллектуальное меню, гибкая система конфигурирования.
. Возможность формирования помехового сигнала от различных
внутренних и внешних источников и их комбинаций. Внутренние источники:
· генератор шума;
· фонемный клонер, предназначенный для синтеза речеподобных,
оптимизированных для защиты речевой информации конкретных лиц помех путем
клонирования основных фонемных составляющих их речи.
За счет их микширования по каждому каналу значительно уменьшается
вероятность очистки зашумленного сигнала. Кроме того, наличие линейного входа
позволяет подключать к комплексу источники специального помехового сигнала
повышенной эффективности.
. Каждый канал прибора имеет собственный независимый генератор шума
аналогового типа и фонемный клонер, что позволяет исключить возможность
компенсации помехового сигнала средствами перехвата речевой информации за счет
специальной обработки, в том числе и корреляционными методами при
многоканальном съеме несколькими датчиками.
5. Одним прибором можно защитить помещения большой площади
различного назначения (конференц-залы и т.п.).
. Возможность регулировки спектра помехового сигнала для повышения
эффективности наведенного помехового сигнала с учетом особенностей используемых
вибро- и акустических излучателей и защищаемых поверхностей (5-ти полосный
цифровой эквалайзер).
. Наличие четырех независимых выходных каналов с раздельными
регулировками для оптимальной настройки помехового сигнала для различных
защищаемых поверхностей и каналов утечки. Достижение максимальной эффективности
подавления при минимальном паразитном акустическом шуме в защищаемом помещении
за счет вышеперечисленных возможностей настройки комплекса.
. Встроенные средства контроля эффективности создаваемых помех:
контрольный динамик для экспертной оценки качества создаваемой помехи и
низкочастотный четырехканальный пятиполосный анализатор спектра, работающий с
выходными сигналами всех 4 каналов, обладающий широким динамическим диапазоном,
что позволяет эффективно непрерывно проводить контроль помех любого уровня,
создаваемых в каждом из каналов во всем частотном диапазоне работы прибора.
. Возможность подключения к каждому выходному каналу различных
типов вибро- и акустических излучателей и их комбинаций за счет наличия
низкоомного и высокоомного выходов. Это также позволяет использовать комплекс
для замены морально устаревших или вышедших из строя источников помехового
сигнала в уже развернутых системах виброакустической защиты без демонтажа и
замены установленных виброакустических излучателей.
. Наличие системы беспроводного дистанционного включения
комплекса.
Технические характеристики:
· число помеховых каналов 4;
· выходная мощность не менее 18 Вт на канал;
· диапазон частот60...16000 Гц
· число вибраторов, подключаемых к одному каналу:
пьезоэлектрических - до 30; электромагнитных - до 7;
· количество поддиапазонов с регулируемым уровнем мощности
помехи в канале 5;
· частотные поддиапазоны 60...350 Гц; 350...700 Гц; 700...1400
Гц; 1400...2800 Гц; 2800...16000 Гц;
· виды помехи:"белый" шум; речеподобная помеха
фонемного клонера; помеха от внешнего источника; смесь шумовой помехи, помехи
фонемного клонера и помехи от внешнего источника;
· количество независимых фонемных клонеров 4;
· количество независимых генераторов шума 4;
· диапазон регулировки уровня сигнала в каждой октавной
полосене менее 24 дБ;
· управление включением помехи дистанционное проводное,
дистанционное по радиоканалу, местное;
· питание сеть 220 в, 50 Гц.
· габариты377х335х108 мм
Приложение В
Сетевой помехоподавляющий фильтр "ФП-10"
Технические характеристики ФП-10:
. Количество проводов-2.
2. Номинальный ток, не более-10 А.
. Номинальное напряжение:
· при постоянном токе-500 В;
· при переменном токе с частотой 50 Гц-220 В;
· при переменном токе с частотой 400 Гц-115 В .
4. Затухание в диапазоне, дБ
· 20-150 КГц25;
· 0,15 МГц - 1 ГГц 80.
5. Масса фильтра ФП-10 6,0 кг
Приложение Г
Пример положение о коммерческой тайне ООО "Должник"
. Общие положения
.1 Настоящее Положение о коммерческой тайне (далее - Положение) в целях
обеспечения экономической безопасности общества с ограниченной ответственностью
"Должник" (далее - Общество) устанавливает общие нормы о сведениях,
составляющих коммерческую тайну (далее - коммерческая тайна), режиме конфиденциальной
информации и условиях ее защиты, а также меры ответственности, применяемые за
нарушение требований, установленных настоящим Положением.
.2 Настоящее Положение разработано в соответствии с действующим
законодательством РФ, Уставом Общества, должностными инструкциями и иными
локальными (внутренними) актами Общества, утвержденными в установленном
порядке.
.3 Действие настоящего Положения распространяется на работников Общества,
работающих по трудовому договору, заключенному с Обществом, которые дали
обязательство о неразглашении коммерческой тайны, а также на лиц, работающих по
гражданско.правовым договорам, заключенным с Обществом, взявших на себя
обязательство о неразглашении коммерческой тайны, в порядке и на условиях,
предусмотренных настоящим Положением.
. Понятия, используемые в настоящем Положении
.1 Руководитель Общества - директор или иное должным образом
уполномоченное им лицо.
.2 Информационная защита - это совокупность организационно-технических и
режимных мероприятий, а также мероприятий скрытого контроля, направленных на
предотвращение поступления сведений, составляющих коммерческую тайну, лицам, не
имеющим право доступа к ним на законном основании.
.3 Допуск к коммерческой тайне - процедура оформления права работника на
доступ к сведениям, составляющим коммерческую тайну.
.4 Носители сведений, составляющих коммерческую тайну, - материальные
объекты, в которых сведения находят свое отображение.
.5 Разглашение сведений, составляющих коммерческую тайну, - передача в
устной, письменной, электронной или иной форме, раскрытие и подобные действия,
совершенные работником умышленно или по неосторожности, включая халатное
отношение к своим должностным обязанностям, повлекшие ознакомление со
сведениями, составляющими коммерческую тайну, любых лиц, не имеющих права
доступа на законном основании к указанным сведениям.
. Полномочия руководителя Общества в области защиты коммерческой тайны
Руководитель Общества:
.1 Организует и контролирует исполнение настоящего Положения.
.2 Утверждает перечень лиц, допущенных к коммерческой тайне Общества.
.3 Принимает решения о внесении изменений и (или) дополнений в перечень
сведений, составляющих коммерческую тайну.
.4 Организует разработку и выполнение мероприятий в области защиты
коммерческой тайны Общества.
.5 В пределах своей компетенции решает иные вопросы, связанные с
коммерческой тайной, а также ее защитой.
. Понятие коммерческой тайны
.1 Коммерческая тайна представляет собой совокупность сведений о
деятельности Общества, его подразделений, отдельных работников, которые в
соответствии с настоящим Положением отнесены к коммерческой тайне и
используются Обществом с целью извлечения прибыли и (или) достижения
добросовестного преимущества над конкурентами.
.2 Информация составляет коммерческую тайну в случае, если она имеет действительную
или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам,
к ней нет свободного доступа на законном основании и обладатель информации
(Общество) принимает меры к охране ее конфиденциальности.
. Порядок отнесения сведений к коммерческой тайне
.1 Отнесение сведений к коммерческой тайне осуществляется путем введения
в предусмотренном настоящим Положением порядке ограничений на разглашение и
доступ к ее носителям.
.2 Отнесение сведений к коммерческой тайне осуществляется руководителем
Общества в соответствии с принципами обоснованности и своевременности.
Обоснованность заключается в установлении целесообразности отнесения конкретных
сведений к коммерческой тайне. Своевременность заключается в установлении
ограничений на разглашение этих сведений с момента их получения (разработки)
или заблаговременно до указанного момента.
.3 В исключительных случаях, не терпящих отлагательства, отнесение
сведений к коммерческой тайне осуществляется путем проставления руководителем
Общества грифа "Конфиденциально", с последующим оформлением этих
сведений в порядке, предусмотренном настоящим Положением. В данном случае
указанные сведения приобретают статус коммерческой тайны с момента проставления
указанного грифа.
. Сведения, составляющие коммерческую тайну
.1 Сведения, составляющие коммерческую тайну Общества, определены
Приложением № 1 к настоящему Положению, являющимся его неотъемлемой частью.
.2 Перечень сведений конфиденциального характера, утв. Указом Президента
Российской Федерации от 06.03.97 № 188.
.3 Изменение и дополнение указанного перечня сведений допускается в
письменной форме с обязательным ознакомлением работников с внесенными
изменениями и дополнениями под роспись. В противном случае обязательства
работника по сохранению коммерческой тайны остаются в прежнем виде.
.4 К сведениям, составляющим коммерческую тайну Общества, не относятся
сведения, которые указаны в постановлении Правительства РСФСР от 05.12.91 № 35
"О перечне сведений, которые не могут составлять коммерческую тайну.
. Обязательства работника
.1 Не разглашать коммерческую тайну Общества, за исключением случаев,
когда есть письменное согласие руководителя Общества, когда действующее
законодательство РФ или локальные акты Общества прямо обязывали совершить
определенные действия, когда имелись обстоятельства, которые уполномочивали его
к этому.
.2 Выполнять относящиеся к работнику требования приказов, инструкций и
положений по обеспечению сохранности коммерческой тайны Общества и их
носителей, соблюдать порядок работы и хранения в отношении документов,
содержащих коммерческую тайну, порядок сдачи помещений под охрану и приема
из.под охраны, порядок доступа и работы с персональными компьютерами и иной
электронной техникой.
.3 Сохранять коммерческую тайну тех организаций, с которыми имеются
деловые отношения у Общества.
.4 Не использовать коммерческую тайну Общества для занятий другой
деятельностью, а также в процессе работы для другой организации, предприятия,
учреждения, по заданию физического лица или в ходе осуществления предпринимательской
деятельности без образования юридического лица, которая в качестве
конкурентного действия может нанести ущерб Обществу.
.5. Не использовать сведения, составляющие коммерческую тайну, в научной
и педагогической деятельности, в ходе публичных выступлений, интервью.
.6 Незамедлительно ставить в известность соответствующих должностных лиц
Общества о необходимости отвечать либо об ответах на вопросы должностных лиц
компетентных органов (налоговая инспекция, органы предварительного следствия и
т. п.), находящихся при исполнении служебных обязанностей, по вопросам
коммерческой тайны Общества.
.7 Незамедлительно сообщать соответствующему должностному лицу Общества
об утрате или недостаче носителей информации, составляющей коммерческую тайну,
удостоверений, пропусков, ключей от помещений, хранилищ, сейфов, личных печатей
и о других фактах, которые могут привести к разглашению коммерческой тайны
Общества, а также о причинах и условиях возможной утечки коммерческой тайны.
.8 В случае попытки посторонних лиц получить от работника коммерческую
тайну Общества незамедлительно известить об этом соответствующее должностное
лицо Общества.
.9 Не создавать условий для утечки коммерческой тайны и предпринимать все
усилия для пресечения такой утечки, если ему стало известно, что утечка имеет
место или что складываются условия для возможности таковой.
.10 В случае увольнения все носители коммерческой тайны Общества
(документы, чертежи, магнитные ленты, диски, дискеты, распечатки, кино. и
фотоматериалы, изделия и др.), которые находились в распоряжении работника во
время работы в Обществе, передать соответствующему должностному лицу Общества.
.11 В случае увольнения (независимо от причин увольнения) не разглашать и
не использовать для себя или других лиц коммерческую тайну Общества в течение 3
лет с момента увольнения.
. Порядок допуска к коммерческой тайне
.1 Принятие на себя обязательства о неразглашении коммерческой тайны
осуществляется работником на добровольной основе.
.2 Работник, который в силу своих служебных обязанностей имеет доступ к
коммерческой тайне, а также работник, которому будет доверена коммерческая
тайна для исполнения определенного задания, обязан в момент приема на работу
либо по первому требованию Общества ознакомиться с настоящим Положением и дать Обществу
обязательство о неразглашении коммерческой тайны.
.3 Допуск к коммерческой тайне осуществляется только после дачи
работником обязательства о неразглашении коммерческой тайны, за исключением
случаев, предусмотренных настоящим Положением.
.4 Обязательство о неразглашении коммерческой тайны оформляется в
письменной форме за подписью работника Общества и является неотъемлемой частью
трудового договора, заключаемого с Обществом.
.5 Обязательство о неразглашении коммерческой тайны оформляется в одном
экземпляре, который хранится у Общества.
.6 Подписанное работником обязательство о неразглашении коммерческой
тайны не ограничивает его прав на результаты интеллектуальной деятельности, в
т. ч. исключительных прав на них (интеллектуальная собственность).
.7 Кроме обязательства о неразглашении коммерческой тайны, работник дает
согласие на проведение в отношении него уполномоченными должностными лицами
проверочных мероприятий в пределах, установленных действующим законодательством
РФ.
. Порядок прекращения допуска к коммерческой тайне
.1 Допуск работника к коммерческой тайне может быть прекращен в следующих
случаях:
· расторжение трудового договора (независимо от причин расторжения);
однократное нарушение им взятых на себя обязательств, связанных с
неразглашением и защитой коммерческой тайны;
· по инициативе руководителя Общества.
9.2 Прекращение допуска осуществляется по решению руководителя Общества,
которое оформляется в виде приказа в письменной форме и доводится до сведения
работника под роспись.
. Ответственность за разглашение коммерческой тайны
.1 За нарушение обязательств о неразглашении коммерческой тайны работник
несет ответственность, предусмотренную действующим законодательством РФ и
трудовым договором, заключенным с Обществом.
.2 В случае разглашения коммерческой тайны работник обязан возместить
Обществу причиненные этим убытки.
.3 При обнаружении в действиях работника признаков состава преступления
Общество направляет соответствующее сообщение в правоохранительные органы.
. Заключительные положения
.1 В случае несогласия с настоящим Положением или перечнем сведений,
составляющих коммерческую тайну, или отказа работника либо лица, принимаемого
на работу, дать письменное обязательство о неразглашении коммерческой тайны,
последний должен дать мотивированное объяснение своего несогласия или отказа,
внести предложения по содержанию настоящего Положения или перечня сведений,
составляющих коммерческую тайну, либо обязательства о неразглашении
коммерческой тайны. Если соответствующие аргументы будут признаны обоснованными,
Общество в порядке, предусмотренном настоящим Положением, вправе внести
изменения и (или) дополнения в настоящее Положение или перечень сведений,
составляющих коммерческую тайну, либо в обязательство о неразглашении
коммерческой тайны и рассмотреть вопрос о допуске лица до внесения
соответствующих изменений и (или) дополнений и дачи обязательства о
неразглашении коммерческой тайны.