Инженерно-техническая защита информации по акустическому и виброакустическому каналам утечки

Инженерно-техническая защита информации по акустическому и виброакустическому каналам утечки

Введение

сигнал инженерный технический несанкционированный

Информация - это вся совокупность сведений об окружающем нас мире, о всевозможных протекающих в нем процессах, которые могут быть восприняты живыми организмами, электронными машинами и другими информационными системами. Психический продукт любого психофизического организма, производимый им при использовании какого-либо средства, называемого средством информации.

Для хранения информации используются материальные объекты или среды, способные достаточно длительное время сохранять в своей структуре занесённую на него информацию.

Защита сохранности информационных ресурсов государства и защищённости законных прав личности и общества - основная задача информационной безопасности. Осуществляется при помощи.

Организационных мер - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Существует три основных направления организации информационной безопасности:

1.Защита сети - комплекс организационных, программных, технических и физических мер, обеспечивающих достижение следующих свойств информационных ресурсов:

a.целостности - обеспечение актуальности и непротиворечивости информации, ее защищенности от разрушения и несанкционированного изменения;

b.конфиденциальности - обеспечение защищенности информации от несанкционированного доступа и ознакомления;

c.доступности - обеспечение возможности за приемлемое время получить доступ к хранимой и обрабатываемой в системе информации;

d.аутентичности - обеспечение подлинности субъектов и объектов доступа к информации.

2.Программно-аппаратная защита - сервисы безопасности, встроенные в сетевые операционные системы. К сервисам безопасности относятся: идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование. Идентификация предназначена для того, чтобы пользователь или вычислительный процесс, действующий по команде определенного пользователя, могли идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в операционную систему, действительно тот, за кого себя выдает. Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами.

3.Инженерно-технические средства защиты информации - это совокупность специальных органов, технических средств и мероприятий по их использованию в целях защиты конфиденциальной информации. По функциональному назначению средства инженерно-технической защиты делятся на следующие группы:)Физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий.)Аппаратные средства защиты информации - это различные технические устройства, системы и сооружения предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа. Использование аппаратных средств защиты информации позволяет решать следующие задачи:

·проведение специальных исследований технических средств на наличие возможных каналов утечки информации;

·выявление каналов утечки информации на разных объектах и в помещениях;

Целью данной курсовой работы является обеспечение защиты информации отведённого помещения «Лаборатория №402» по акустическим и виброакустическим каналам утечки информации, а также установка системы видеонаблюдения, для дополнительной безопасности данной контролируемой зоны.

1. Анализ объекта защиты

.1 Категория объекта

Все объекты, их помещения и территории подразделяются на две группы: А (наиболее ценные) и Б (менее ценные). Ввиду большого разнообразия различных по составу объектов в каждой группе они дополнительно подразделяются на две подгруппы: А1 и А11, Б1 и Б11.

Объекты подгрупп А1 и А11 относятся к особо важным, повышенной опасности и жизнеобеспечения, противоправные действия на которых (кража, грабеж, разбой, терроризм и т.п.) могут, в соответствии с законодательством Российской Федерации, привести к крупному, особо крупному экономическому или социальному ущербу государству, обществу, предприятию, экологии или иному владельцу имущества.

Объекты подгрупп Б1 и Б11 - это объекты, хищения на которых могут, в соответствии с законодательством Российской Федерации, привести к ущербу в размере до 500 МРОТ и свыше 500 МРОТ соответственно.

.2 План этажа

Рисунок 1 - План этажа

1.3 Инженерно-техническая характеристика объекта

.Персональные компьютеры - 13 штук;

.Пожарная сигнализация - 2 штуки;

.Розетка электрическая - 15 штук;

.Электрощиток - 1 штук;

.Технические отверстия - 3 штуки;

.Кондиционер;

.МФУ;

.Перегородка - (Z=15 см);

.Лампы дневного света - 10 штук;

.Радиатор отопления - 2 штуки;

.Балка (400х350 мм) - 2 штуки;

.Дверной проём (900x2000);

.Подвесной потолок (h=240 см);

.Оконные проёмы (стеклопакет, двойное остекление) - 2 штуки;

.Покрытие пола - ламинат;

1.4 План объекта

Рисунок 2 - План объекта

.5 Расчёт контролируемой зоны

Контролируемая зона - пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств, технических и иных материальных средств.

Типы зон:

.Независимая зона - уровень безопасности в одной зоне не зависит от уровня в другой. Также зоны создаются уже в разделенный зданиях и помещений содержание работ, в которых существенно отличаются.

.Пересекающиеся зоны - требования к безопасности в пересекающейся зоне являются промежуточными между пребывание и соседним.

.Вложенные зоны - безопасность информации во вложенной зоне определяется не только её уровнем защиты, но и уровни (предусматривает препятствующих зон, которые должен преодолеть злоумышленник)

Каждая зона характеризуется собственным уровнем безопасности, который зависит от:

·расстояние от источника информации до злоумышленника или средства перехвата.

·от количества уровней рубежной защиты на пути к злоумышленнику.

·от эффективности способов управления допуском.

·от мер по защите информации внутри самой зоны.

Таблица 1 - Вариант классификации зон по условиям доступа

Подконтрольная зона относится к категории наблюдаемой, тип зоны пересекающаяся.

2. Анализ источников опасных сигналов и определение потенциальных технических каналов утечки информации и несанкционированного доступа

Несанкционированный доступ к конфиденциальным сведениям может быть организован «извне», путем проведения разведывательных мероприятий, реализующих съем информации с технических каналов утечки информации.

Под техническим каналом утечки информации принято понимать систему, в состав которой входят:

·объект разведки;

·техническое средство, используемое для несанкционированного получения нужных сведений;

·физическая среда, в которой распространяется информационный сигнал.

Выделяют следующие группы основных технических каналов утечки информации: электромагнитные; электрические; оптические; акустические.

Электромагнитные каналы утечки информации. К ним относят каналы утечки информации, возникающие за счет побочных электромагнитных излучений технических средств обработки информации.

Вся работающая электронная аппаратура и электронные системы, на какой бы технической базе они ни формировались - от телефонного аппарата до современных компьютерных систем, а также проводные коммуникации создают электромагнитные поля, называемые побочными электромагнитными излучениями. Они способны создавать электромагнитные наводки в расположенных рядом слаботочных, силовых и осветительных сетях, линиях и аппаратуре охранно-пожарной сигнализации, проводных линиях связи, различных приемниках электромагнитных излучений.

В результате таких процессов возникают каналы утечки информационных сигналов, так как электрическое поле, создаваемое работающей аппаратурой, является носителем обрабатываемой или передаваемой информации. Специальные широкополосные приемники позволяют «считывать» электромагнитные излучения, а затем восстанавливать и отображать содержащуюся в них информационную составляющую.

Электрические каналы утечки информации могут возникать за счет:

·наводок электромагнитных излучений технических средств обработки информации на коммутационные линии вспомогательных технических систем и средств;

·утечек информационных сигналов в цепях питания технических средств обработки информации;

·утечек информационных сигналов в цепях заземления технических средств обработки информации:

Например, побочные электромагнитные поля работающих компьютеров производят наводки на близко расположенные коммутационные линии вспомогательных средств и систем, к которым можно отнести: охранно-пожарную сигнализацию, телефонные провода, сети электропитания, металлические трубопроводы, цепи заземления. В этом случае возможен съем информации путем подключения специальной аппаратуры к коммуникационным линиям за пределами контролируемой территории.

Акустические каналы утечки информации. Наиболее распространенным способом несанкционированного доступа к информации является перехват акустической (речевой) информации.

Каналы утечки акустической информации принято классифицировать следующим образом: электроакустический; виброакустический; акустический; оптико-электронный; проводной; электромагнитный.

Перехват акустической (речевой) информации из выделенных помещений по данному каналу может осуществляться:

·с использованием портативных устройств звукозаписи (диктофонов), скрытно установленных в выделенном помещении;

·с использованием электронных устройств перехвата информации (закладных устройств) с датчиками микрофонного типа (преобразователями акустических сигналов, распространяющихся в воздушной среде), скрытно установленных в выделенном помещении, с передачей информации по радиоканалу, оптическому каналу, электросети 220 В, телефонной линии, соединительным линиям ВТСС и специально проложенным кабелям;

·с использованием направленных микрофонов, размещённых в близлежащих строениях и транспортных средствах, находящихся за границей контролируемой зоны;

·без применения технических средств (из-за недостаточной звукоизоляции ограждающих конструкций выделенных помещений и их инженерно-технических систем) посторонними лицами (посетителями, техническим персоналом) при их нахождении в коридорах и смежных помещениях (непреднамеренное прослушивание).

Электроакустический канал утечки информации. Ряд элементов вспомогательных технических систем и средств (прежде всего громкоговорители трансляционной сети, звонки телефонных аппаратов и др.) меняют свои электрические параметры (емкость, индуктивность, сопротивление) под действием акустического сигнала. Изменение параметров вызывает модуляцию информационным сигналом токов, протекающих в элементах вспомогательных технических средств и систем. Такие электрические преобразования получили название «микрофонный эффект». Рассмотрим его действие на примере телефонного аппарата, поскольку утечки речевой информации по открытым телефонным каналам представляют собой серьезную угрозу.

С точки зрения безопасности телефонный аппарат имеет существенный недостаток, поскольку его основные узлы (микрофон, наушник, звонковая цепь) могут выполнять функции приемника и передатчика сигналов при несанкционированном прослушивании помещения, в котором он установлен. Звонковая цепь телефонного аппарата при положенной на рычаг трубке создает микрофонный эффект. Подвижные части звонка вибрируют под действием речевых сигналов (разговор в помещении), что приводит к появлению в нем электрического тока малой амплитуды. Это, в свою очередь, позволяет провести соответствующую обработку возникающего в цепи сигнала и выделить звуковую составляющую за пределами контролируемого помещения.

Другим способом снятия информации с телефона является высокочастотное навязывание. Суть этого метода состоит в подключении к одному из проводов телефонной линии высокочастотного генератора, работающего в диапазоне 50-300 кГц. Правильный подбор частоты генератора и частоты резонанса телефонного аппарата позволяет при положенной трубке добиться модуляции высокочастотных колебаний микрофоном, который улавливает звуковые сигналы в прослушиваемом помещении. Существует и ряд других приемов превращения телефонного аппарата в технический канал утечки информации.

Виброакустический канал утечки информации. Реализуется путем использования электронных стетоскопов. При этом происходит снятие результатов воздействия акустических речевых сигналов на строительные конструкции и сооружения (панели перегородок стен, пол, потолок, воздуховоды, вентиляционные шахты, трубы и батареи отопления, оконные стекла и т.д.). Под воздействием акустических волн строительные конструкции подвергаются микродеформации, в результате которой возникают упругие механические колебания, хорошо передающиеся в твердых однородных средах. Эти колебания воздействуют на чувствительный элемент электронного стетоскопа (вибродатчик) и преобразуются в электрический сигнал, который затем усиливается и может быть передан по проводным, оптическим или радиоканалам связи. Этот метод достаточно эффективен, так как не требует проникновения в контролируемые помещения. Такой стетоскоп легко устанавливается за пределами контролируемой зоны (на элементах строительных конструкций, трубах водоснабжения и отопления).

Оптико-электронный канал утечки информации. Акустический контроль удаленных помещений, имеющих окна, может быть осуществлен с использованием оптико-электронных, или, как их нередко называют, лазерных, систем (лазерных микрофонов).

Современные лазерные системы позволяют осуществлять прослушивание разговоров, ведущихся в помещении, на расстоянии от 100 м до 1 км. Для отражения лазерного луча могут быть использованы также элементы мебели и интерьера - стеклянные поверхности и зеркала внутри помещения.

Лазерные системы состоят из источника когерентного излучения (передатчика) и приемника отраженного луча. Передатчик представляет собой оптико-электронное устройство, формирующее луч и направляющее его в нужную точку отражающей поверхности, например, на оконное стекло помещения, в котором ведутся переговоры. Отраженное излучение модулируется речевым (акустическим) сигналом, который возникает в помещении при ведении переговоров, улавливается приемником, демодулируется с последующим шумоподавлением и усилением.

Отметим, что серьезным недостатком таких систем является их зависимость от гидрометеорологических условий - дождь, снег, туман, порывистый ветер в значительной степени затрудняют съем информации или делают его невозможным.

Акустический канал утечки информации. Самым простым способом перехвата речевой информации, не требующим использования специальной техники, является подслушивание ведущихся разговоров. Неплотно прикрытая дверь в кабинет должностного лица, обсуждение сведений ограниченного распространения в курительной комнате или за пределами служебных помещений, конфиденциальное совещание, проводимое в помещении с открытыми окнами, - вот те простые, но вместе с тем вполне реальные каналы утечки информации.

Если при этом лицо, проявляющее интерес к чужим тайнам, использует такие технические средства, как направленный микрофон, скрытый в стенке портфеля или внутри зонта, и портативный диктофон, то это с высокой степенью вероятности позволит не пропустить ни одного слова и зафиксировать контролируемую беседу.

Проводной канал утечки акустической (речевой) информации. В зданиях и сооружениях причиной возникновения акустических каналов являются воздуховоды, вентиляционные шахты, щели и пустоты в некачественных строительных материалах, а также специально сделанные отверстия в потолках, стенах, полах.

Для снятия акустической информации могут быть использованы проводные микрофоны, которые через линии связи подключаются к звукоусилительной и звукозаписывающей аппаратуре.

В качестве канала передачи перехваченной информации используются телефонные линии и линии вспомогательных технических средств и систем, силовая и осветительная сеть, оптический и инфракрасный каналы, при этом информация передается за пределы контролируемой зоны в закодированном виде либо без кодировки.

Электромагнитный канал утечки информации. Наряду с направленными микрофонами, диктофонами и лазерными системами для несанкционированного съема речевой информации широко используются скрытно устанавливаемые акустические закладные устройства, или радиомикрофоны.

Такие устройства изготавливаются как камуфлированными, так и без камуфляжа. Они скрытно устанавливаются во вторичных технических средствах и системах, а также технических средствах обработки информации. Местом установки могут быть: телефонный аппарат, электрические розетки, выключатели и т.п. Нередко осуществляется их маскировка в настольных предметах (пепельницы, письменные приборы, вазы для цветов), предметах мебели и интерьера, элементах конструкций зданий и др.

Таблица 2 - Способы перехвата акустической информации из выделенного помещения

. Организационные методы защиты информации в выделенном помещении

Организационная защита информации - составная часть системы защиты информации, определяющая и вырабатывающая порядок и правила функционирования объектов защиты и деятельности должностных лиц в целях обеспечения защиты информации.

Организационная защита информации на предприятии - регламентация производственной деятельности и взаимоотношений субъектов (сотрудников организации) на нормативно-правовой основе, исключающая или ослабляющая нанесение ущерба данному заведению.

Организационная защита информации:

.Организация работы с персоналом;

.Организация внутри объектового и пропускного режимов и охраны;

.Организация работы с носителями сведений;

.Комплексное планирование мероприятий по защите информации;

.Организация аналитической работы и контроля.

На основании Федерального закона №152: «Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

) подтверждение факта обработки персональных данных оператором;

) правовые основания и цели обработки персональных данных;

) цели и применяемые оператором способы обработки персональных данных;

) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

) сроки обработки персональных данных, в том числе сроки их хранения;

) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства».

Согласно Федеральному закону №149 доступ к персональным данным: «1. Граждане (физические лица) и организации (юридические лица) (далее - организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.

. Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы.

. Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.

. Не может быть ограничен доступ к:

) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

) информации о состоянии окружающей среды;

) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.»

Так же к организационным мерам относятся должностные инструкции - документы, регламентирующие производственные полномочия и обязанности работника.

Должностная инструкция

Инженера по безопасности информации

Общие положения

1.1. Инженер по безопасности информации относится к категории специалистов.

.2. Инженер по безопасности информации назначается на должность и освобождается от занимаемой должности в установленном действующим трудовым законодательством порядке приказом директора по представлению начальника Службы безопасности.

.3. Инженер по безопасности информации подчиняется непосредственно начальнику Службы безопасности.

.4. На должность инженера по безопасности информации назначается лицо, имеющее:

.4.1. Требования к квалификации. Высшее профессиональное (техническое) образование без предъявления требований к стажу работы или среднее профессиональное (техническое) образование и стаж работы в должности техника по безопасности информации I категории не менее 3 лет либо других должностях, замещаемых специалистами со средним профессиональным образованием, не менее 5 лет.

.5. Инженер по безопасности информации должен знать:

федеральные законы, законы, постановления, распоряжения, приказы, методические и нормативные материалы по вопросам, связанным с обеспечением технической защиты информации;

методы и средства получения, обработки и передачи информации;

технические средства защиты информации;

программно-математические средства защиты информации;

порядок оформления технической документации по защите информации;

каналы возможной утечки информации;

методы анализа и защиты информации;

организацию работ по защите информации;

режим проведения специальных работ;

отечественный и зарубежный опыт в области технической разведки и защиты информации;

основы экономики, организации производства, труда и управления;

основы трудового законодательства;

правила и нормы охраны труда;

специализацию предприятия и особенности его деятельности;

положение о Службе безопасности предприятия;

правила внутреннего трудового распорядка;

настоящую должностную инструкцию

.6. В период временного отсутствия инженера по безопасности информации его обязанности возлагаются на администратора безопасности информационных систем персональных данных.

Обязанности

Инженер по безопасности информации:

Участвует в рассмотрении проектов технических заданий, планов и графиков проведения работ по технической защите информации, в разработке необходимой технической документации;

Выполняет работы по проектированию и внедрению специальных технических и программно-математических средств защиты информации;

Обеспечивает организационно-технических меры защиты информационных систем;

Проводит исследования с целью нахождения и выбора наиболее целесообразных практических решений в пределах поставленной задачи;

Осуществляет подбор, изучение и обобщение научно-технической литературы, нормативных и методических материалов по техническим средствам и способам защиты информации;

Проводит сопоставительный анализ данных исследований и испытаний, изучает возможные источники и каналы утечки информации;

Проводит техническое обслуживание средств защиты информации;

Принимает участие в составлении рекомендаций и предложений по совершенствованию и повышению эффективности защиты информации;

Выполняет оперативные задания, связанные с обеспечением контроля технических средств и механизмов системы защиты информации, участвует в проведении проверок на предприятии по выполнению требований нормативно-технической документации по защите информации, в подготовке отзывов и заключений на нормативно-методические материалы и техническую документацию;

Принимает участие в подготовке предложений по заключению соглашений и договоров с другими учреждениями, организациями и предприятиями, предоставляющими услуги в области защиты информации и персональных данных;

Участвует в проведении аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации и персональных данных;

Проводит контрольные проверки работоспособности и эффективности действующих систем и технических средств защиты информации, составляет и оформляет акты контрольных проверок, анализирует результаты проверок и разрабатывает предложения по совершенствованию и повышению эффективности принимаемых мер;

Изучает и обобщает опыт работы других учреждений, организаций и предприятий по использованию технических средств и способов защиты информации с целью повышения эффективности и совершенствования работ по ее защите;

Выполняет работы в установленные сроки, на высоком научно-техническом уровне, соблюдая требования руководящих документов по режиму проведения работ;

Находится в готовности к выполнению работ по защите информации в условиях чрезвычайных ситуаций;

Поддерживает уровень квалификации, достаточный для исполнения своих должностных обязанностей;

Ведет разъяснительную работу по вопросам безопасного использования средств вычислительной техники и применения компьютерных информационных технологий;

Права

Инженер по безопасности информации имеет право:

вносить предложения по развитию и совершенствованию деятельности предприятия по безопасности обработки защищаемой информации в том числе, содержащей персональные данные;

запрашивать у руководства, получать и пользоваться информационными материалами и нормативно-правовыми документами, необходимыми для исполнения своих должностных обязанностей;

требовать от руководства предприятия оказания содействия в исполнении своих должностных обязанностей и прав;

принимать участие в конференциях и совещаниях, на которых рассматриваются вопросы, связанные с его работой;

повышать свою квалификацию;

проверять в составе комиссий, а также лично, исполнения работниками предприятия положений руководящих документов предприятия, касающихся обеспечения безопасности информации и персональных данных.

Инженер по безопасности информации пользуется всеми трудовыми правами в соответствии с Трудовым кодексом Российской Федерации.

Ответственность

Инженер по безопасности информации несет ответственность за:

неисполнение (ненадлежащее исполнение) своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, в пределах, определенных трудовым законодательством Российской Федерации.

несоблюдение правил внутреннего распорядка, санитарно-противоэпидемического режима, противопожарной безопасности и техники безопасности;

неготовность к работе в условиях чрезвычайных ситуаций.

За нарушение законодательных и нормативных актов инженер по безопасности информации может быть привлечен, в соответствии с действующим законодательством, в зависимости от тяжести проступка к дисциплинарной, материальной, административной и уголовной ответственности.

Должностная инструкция

Администратора информационной безопасности информационных

систем персональных данных

Общие положения

Администратор информационной безопасности информационной системы персональных данных (ИСПДн) (ГБПОУ СПО (ССУЗ) «Челябинский радиотехнический техникум») (далее - Предприятия) назначается приказом директора. Он руководствуется требованиями нормативных документов Российской Федерации, нормативных актов Предприятия, настоящей Инструкцией, а также другими распорядительными документами в части, его касающейся.

Администратор ИБ ИСПДн в пределах своих функциональных обязанностей обеспечивает работоспособность ИСПДн, безопасность персональных данных, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники (СВТ) в ИСПДн Предприятия.

Должностные лица Предприятия, задействованные в обеспечении функционирования ИСПДн, могут быть ознакомлены с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.

В случае увольнения (снятия обязанностей), администратор ИБ ИСПДн Предприятия, обязан передать начальнику подразделения, в штате которого он состоит все носители защищаемой информации Предприятия (рукописи, черновики, чертежи, диски, дискеты, распечатки с принтеров, модели, материалы, изделия и пр.), которые находились в его распоряжении в связи с выполнением им служебных обязанностей во время работы в Предприятия.

Права

Администратор ИБ ИСПДн имеет право:

отключать любые элементы СЗПДн при изменении конфигурации, регламентном техническом обслуживании или устранении неисправностей в установленном порядке;

в установленном порядке изменять конфигурацию элементов ИСПДн и СЗПДн;

требовать от сотрудников Предприятия соблюдения правил работы в ИСПДн, приведенных в «Инструкции пользователя ИСПДн»;

требовать от пользователей безусловного соблюдения установленной технологии обработки защищаемой информации и выполнения требований внутренних документов Предприятия, регламентирующих вопросы обеспечения безопасности и защиты персональных данных;

обращаться к ответственному за обеспечение безопасности ПДн с требованием прекращении обработки информации в случаях нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств и систем защиты информации;

вносить свои предложения по совершенствованию функционирования ИСПДн Предприятия;

инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности в ИСПДн Предприятия.

Обязанности

Администратор информационной безопасности ИСПДн обязан:

знать перечень установленных на предприятии средств вычислительной техники

знать обо всех технологических процессах, производимых вычислительной техникой

обеспечивать работоспособность средств вычислительной техники ИСПДн предприятия;

проводить организационно-технические мероприятия по обслуживанию и ремонту СВТ предприятия, как собственными силами, так и с привлечением (на договорной основе) сторонних организаций, имеющих лицензирование на право ремонта и обслуживания;

устанавливать и настраивать элементы ИСПДн и средства защиты информации;

рассматривать возможность применения новых технологий для повышения эффективности функционирования ИСПДн Предприятия;

выполнять своевременное обновление программного обеспечения элементов ИСПДн и средств защиты персональных данных (СЗПДн) по мере появления таких обновлений;

уметь выполнять резервное копирование и восстановление данных;

обеспечивать контроль за выполнением пользователями требований «Инструкции пользователю ИСПДн»;

осуществлять контроль за работой пользователей автоматизированных систем, выявление попыток НСД к защищаемым информационным ресурсам и техническим средствам ИСПДн Предприятия;

осуществлять настройку средств защиты, выполнять другие действия по изменению элементов ИСПДн;

осуществлять текущий и периодический контроль работы средств и систем защиты информации;

осуществлять текущий контроль технологического процесса обработки защищаемой информации;

периодически, при изменении программной среды и смене персонала ИСПДн, осуществлять тестирование всех функций системы защиты с помощью тестовых программ, имитирующих попытки НСД;

в случае возникновения нештатных ситуаций (сбоев в работе СЗПДн) немедленно докладывать ответственному за обеспечение безопасности ПДн;

участвовать в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации;

участвовать в проведении работ по восстановлению работоспособности средств и систем защиты информации;

вести «Журнал учета нештатных ситуаций». Форма журнала приведена в «Инструкции по действиям персонала в нештатных ситуациях»;

вести учёт фактического вскрытия и опечатывания СВТ;

вести учёт выполнения профилактических работ

вести учёт установки и модификации программного обеспечения средств СВТ;

вести учёт замены аппаратных компонентов СВТ;

проводить инструктаж и обучение работников ГУП (пользователей СВТ) правилам работы с оргтехникой;

проводить инструктаж уполномоченных работников ИСПДн правилам работы со средствами защиты информации с отметкой в карточке инструктажа;

участвовать в разработке нормативных и методических документов, связанных с функционированием ИСПДн и применением средств защиты персональных данных;

регулярно анализировать работу любых элементов ИСПДн, электронных системных журналов средств защиты для выявления и устранения неисправностей, а также для оптимизации ее функционирования.

выполнять иные возложенные на него задачи в соответствии с распорядительными, инструктивными и методическими материалами в части, его касающейся;

Ответственность

Администратор ИБ ИСПДн несет ответственность:

за ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей инструкцией, другими инструктивными документами в соответствии с действующим трудовым законодательством Российской Федерации, за полноту и качество проводимых им работ по обеспечению защиты информации;

за правонарушения, совершенные в процессе своей деятельности в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации;

за разглашение сведений конфиденциального характера и другой защищаемой информации Предприятия в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации;

на администратора ИБ ИСПДн возлагается персональная ответственность за работоспособность и надлежащее функционирование средств обработки ПДн в ИСПДн и средств защиты персональных данных Предприятия.

4. Технические методы защиты информации в выделенном помещении

Задачей технических средств защиты информации является либо ликвидация каналов утечки информации, либо снижение качества получаемой злоумышленником информации. Предупреждение утечки информации по акустическим каналам сводится к пассивным и активным способам защиты. Соответственно, все приспособления защиты информации можно смело разделить на два больших класса - пассивные и активные. Пассивные - измеряют, определяют, локализуют каналы утечки, ничего не внося при этом во внешнюю среду. Активные - «зашумляют», «выжигают», «раскачивают» и уничтожают всевозможные спецсредства негласного получения информации. Основным показателем качества речевой информации считается разборчивость - слоговая, словесная, фразовая и др. Чаще всего используют слоговую разборчивость, измеряемую в процентах. Принято считать, что качество акустической информации достаточное, если обеспечивается около 40% слоговой разборчивости. Если разобрать разговор практически невозможно (даже с использованием современных технических средств повышения разборчивости речи в шумах), то слоговая разборчивость соответствует около 1-2%.

4.1 Пассивные методы защиты

Устройства, обеспечивающее скрытие объекта защиты от технических способов разведки путем поглощения, отражения или рассеивания его излучений. К пассивным техническим средствам защиты относятся экранирующие устройства и сооружения, маски различного назначения, разделительные устройства в сетях электроснабжения, защитные фильтры и т.д. Цель пассивного способа - максимально ослабить акустический сигнал от источника звука, например, за счет отделки стен звукопоглощающими материалами.

По результатам анализа архитектурно-строительной документации формируется комплекс необходимых мер по пассивной защите тех или иных участков. Перегородки и стены по возможности должны быть слоистыми, материалы слоев - подобраны с резко отличающимися акустическими характеристиками (например, бетон-поролон). Для уменьшения мембранного переноса желательно, чтобы они были массивными. Кроме того, разумнее устанавливать двойные двери с воздушной прослойкой между ними и уплотняющими прокладками по периметру косяка. Для защиты окон от утечки информации их лучше делать с двойным остеклением, применяя звукопоглощающий материал и увеличивая расстояние между стеклами для повышения звукоизоляции, использовать шторы или жалюзи. Желательно оборудовать стекла излучающими вибродатчиками. Различные отверстия во время ведения конфиденциальных разговоров следует перекрывать звукоизолирующими заслонками.

4.2 Активные методы защиты

Устройства, обеспечивающее создание маскирующих активных помех (или имитирующих их) для средств технической разведки или нарушающие нормальное функционирование средств негласного съема информации. Активные способы предупреждения утечки информации можно подразделить на обнаружение и нейтрализацию этих устройств.

К активным техническим средствам защиты относятся также различные имитаторы, средства постановки аэрозольных и дымовых завес, устройства электромагнитного и акустического зашумления и другие средства постановки активных помех. Активный способ предупреждения утечки информации по акустическим каналам сводится к созданию в «опасной» среде сильного помехового сигнала, который сложно отфильтровать от полезного.

Современная техника подслушивания дошла до такого уровня, что становится очень сложно обнаружить приборы считывания и прослушивания. Самыми распространенными методами выявления закладочных устройств являются: визуальный осмотр; металлодетектирование; рентгеновское просвечивание.

Проводить специальные меры по обнаружению каналов утечки информации и дорого, и долго. Поэтому в качестве средств защиты информации часто выгоднее использовать устройства защиты телефонных переговоров, генераторы пространственного зашумления, генераторы акустического и виброакустического зашумления, сетевые фильтры. Для предотвращения несанкционированной записи переговоров используют устройства подавления диктофонов.

Подавители диктофонов (также эффективно воздействующие и на микрофоны) применяют для защиты информации с помощью акустических и электромагнитных помех. Они могут воздействовать на сам носитель информации, на микрофоны в акустическом диапазоне, на электронные цепи звукозаписывающего устройства. Существуют стационарные и носимые варианты исполнения различных подавителей. В условиях шума и помех порог слышимости для приема слабого звука возрастает. Такое повышение порога слышимости называют акустической маскировкой. Для формирования виброакустических помех применяются специальные генераторы на основе электровакуумных, газоразрядных и полупроводниковых радиоэлементов.

На практике наиболее широкое применение нашли генераторы шумовых колебаний. Шумогенераторы первого типа применяются для подавления непосредственно микрофонов как у радиопередающих устройств, так и у диктофонов, т.е. такой прибор банально вырабатывает некий речеподобный сигнал, передаваемый в акустические колонки и вполне эффективно маскирующий человеческую речь. Кроме того, такие устройства применяются для борьбы с лазерными микрофонами и стетоскопическим прослушиванием. Надо отметить, что акустические шумогенераторы - едва ли не единственное средство для борьбы с проводными микрофонами. При организации акустической маскировки следует помнить, что акустический шум создает дополнительный дискомфорт для сотрудников, для участников переговоров (обычная мощность генератора шума составляет 75-90 дБ), однако в этом случае удобство должно быть принесено в жертву безопасности.

На практике одну и ту же поверхность приходится зашумлять несколькими виброизлучателями, работающими от разных, источников помеховых сигналов, что явно не способствует снижению уровня шумов в помещении. Это связано с возможностью использования метода компенсации помех при подслушивании помещения. Данный способ заключается в установке нескольких микрофонов и двух- или трехканальном съеме смеси скрываемого сигнала с помехой в пространственно разнесенных точках с последующим вычитанием помех.

Оптимальным методом защиты подконтрольной зонысчитается комбинация пассивной и активной защиты от утечек по акустическому и виброакустическому каналу. Его главным достоинством считается возможность использования достоинств двух основных методов с лучшими показателями цена-качество.

5. Применяемое инженерное и техническое оборудование

Пассивная защита.

Установкашумоизолированной двери:

Необходимо установить специальнуюзвукопоглощающую дверь. Звукопоглощение - процесс преобразования акустической энергии волны в тепловую энергию.

Рисунок 4 - Шумоизолированная дверь

Ликвидациянесоответствующих инженерных конструкций:

Инженерная конструкция с техническим отверстием, находящаяся на стыке контролируемой зоны, и смежного помещения 1 не отвечает должным требованиям по звукоизоляции, необходимо заменить на сэндвич-панель конструкциюиз двух плит перекрытия и установленного между ними слоя войлочных блоков.

Устранение возможной утечки по оптическому каналу:

Для предотвращения съёма информации по оптическому каналу из вне, предлагается затруднить или перекрыть вовсе обзор злоумышленнику на контролируемую зону.

Виды защиты:

.Жалюзи - светозащитные устройства, состоящие из вертикальных или горизонтальных пластин, так называемых ламелей. Ламели могут быть неподвижными, либо поворачиваться вокруг своей оси для регулирования световых и воздушных потоков.

.Шторы - оконная занавесь из плотной ткани, раздвигаемая в стороны или поднимаемая вверх.

.Тонированное стекло-стекло с нанесением тонкого слоя металла или полимера.

.Отражающая «зеркальная» пленка - усложняют либо делают невозможным снятие информации оптическим методом.

Решено установить отражающую плёнку, она отвечает необходимым параметрам для защиты по оптическому каналу и имеет низкую стоимость.

Активная защита.

Рекомендуемые активные средства защиты выделенного помещения:

Для предотвращения съёма информации по виброакустическому каналу с инженерных конструкций необходимо установить систему «Соната-АВ» модель 1М.

Генераторный блок модели 1М разработан для использования в качестве ядра развитых системвиброакустической защиты.

Основными особенностями этого устройства являются:

·два выхода с независимым выбором вида нагрузки (вибро- или аудиоизлучатели) и установкой уровня ее возбуждения;

·высокая нагрузочная способность каждого канала

Рисунок 9 - Технические характеристики модели 1М

Конструктивное исполнение: моноблок 230 х 193 х 65 мм

Рисунок 10 - ПИ - 45 и АИ - 65

Установка системы видеонаблюдения:

Для защиты оборудования от кражи и несанкционированного доступа, требуется установить систему видеонаблюдения. Был выбран аналоговый комплект для внутреннего видеонаблюдения «Дом-2». В комплект входит 2 внутренние видеокамеры с разрешением 700 Твл, 4-канальный цифровой видеорегистратор, блок питания 1 А, кабель ШВЭВ 3х0,12 (30 метров), коннекторы BNC под винт (4 штуки), коннектор питания с клеммной колодкой «мама», коннектор с клеммной колодкой «папа» (2 штуки). Возможно подключение 1 микрофона. Комплект позволяет вести видеонаблюдение через Интернет с помощью мобильного телефона, планшета или любого компьютера.

Предполагается установить одну камеру в к.з., а вторую в смежном помещении 1.

Рисунок 10 - Комплект видеонаблюдения «Дом-2»