Физическая защита информации

Актуальность данной темы заключается в том, что образовательные учреждения являются заманчивой мишенью для злоумышленников в поисках интеллектуальной собственности и обычных киберпреступников, стремящимися легко заработать.

Информация является самым ценным деловым активом образовательного учреждения, поэтому лица, принимающие решения, должны серьезно относиться к ее защите.

Информационная безопасность образовательного учреждения — это процесс, используемый для обеспечения безопасности людей, данных и технологий.

Необходимо внедрять в образовательном учреждении четкую политику безопасности, включая использование средств физической защиты информации, что поможет предотвратить ее утечку во всей организации.

Физическая защита информации очень важна для образовательных учреждений. Здания и помещения, в которых размещаются информация и системы информационных технологий, должны быть обеспечены соответствующей защитой во избежание повреждения или несанкционированного доступа к информации и системам. Кроме того, оборудование, в котором хранится эта информация (например, картотечные шкафы, проводка данных, портативные компьютеры и портативные дисковые накопители), должно быть физически защищено. Кража оборудования представляет собой первоочередную проблему, но следует учитывать и другие вопросы, такие как повреждение или потеря, вызванные пожаром, наводнением и чувствительностью к экстремальным температурам.

Физическая защита информации является первым рубежом для злоумышленника, поэтому она необходима для комплексного обеспечения безопасности информационных систем образовательного учреждения.

Мер физической безопасности должно быть достаточно для борьбы с угрозами, и их следует периодически проверять на предмет их эффективности и функциональности.

Объект исследования—Севастопольский Государственный университет.

Предметом исследования является построение системы физической защиты информации объекта информатизации.

Цель исследования— повышение эффективности организации информационной безопасности Севастопольского Государственного университета за счёт разработки комплексной системы физической защиты информации.

В соответствии с целью исследования поставлены следующие основные задачи:

- изучить предметную область и провести анализ рисков информационной безопасности;

- обосновать необходимость совершенствования системы обеспечения информационной безопасности и защиты информации в организации;

- рассмотреть нормативно-правовую и организационно-административную основы создания системы физической защиты информации;

- спроектировать и внедрить комплекс мер и практических предложений и мероприятий, которые помогут обеспечить информационную безопасность и защиту информации Севастопольского Государственного университета.

В разделе 1 представлены общие сведения о физической защите информации, даны необходимые определения и пояснения. Рассмотрены угрозы физической безопасности и основные сведения о физической безопасности информационных активов организации.Проведен выбор нормативных актов отечественного и международного права, которые будут использоваться в качестве основы для разработки системы физической защиты информации Университета.

Во втором разделе представлено описание Университета, как объекта информатизации, результаты анализа предметной области.Представлена модель угроз и изложена используемая стратегия угроз информационным ресурсам Университета.Представлена модель нарушителя, определен потенциал нарушителей и их возможности.

В разделе 3 представлены проектные решения в соответствии с выбранным направлением обеспечения физической защиты информации объекта информатизации.Также в данном разделе содержится описание внедряемых программно-аппаратных средств системы физической защиты информации объекта информатизации.

1 ОБЩИЕ СВЕДЕНИЯ О ФИЗИЧЕСКОЙ ЗАЩИТЕ ИНФОРМАЦИИ

1.1 Определение активов, угроз и уязвимостей

Независимо от того, какой вид защиты информации применяется, процесс начинается с оценки рисков, с которыми может сталкиваться организация [1].

Способ расчета риска выглядит так:

(1.1)

В этом уравнении «А» относится к «активу», «УГ» — к «угрозе», а «УЯ» — к уязвимости. Выявив и определив эти три элемента, можно получить точную картину каждого риска.

Актив — это любые данные, устройство или другой компонент систем организации, которые представляют ценность — часто потому, что они содержат конфиденциальные данные или могут использоваться для доступа к такой информации.

Например, настольный компьютер сотрудника, ноутбук или служебный телефон будут считаться активом, как и приложения на этих устройствах. Точно так же критически важная инфраструктура, такая как серверы и системы поддержки, является активом [2].

Наиболее распространенными активами организации являются информационные активы. Это такие вещи, как базы данных и физические файлы, то есть конфиденциальные данные, которые хранятся на физических устройствах.

Подобной концепцией является «контейнер информационных активов», в котором хранится эта информация. В случае с базами данных это будет приложение, которое использовалось для создания базы данных. Для физических файлов это будет папка на диске, в которой хранится информация.

Угроза — это любое происшествие, которое может негативно повлиять на актив, например, если он потерян, отключен от сети или используется неуполномоченным лицом [3].

Угрозы можно рассматривать как обстоятельства, ставящие под угрозу конфиденциальность, целостность или доступность актива, и они могут быть преднамеренными или случайными.

Естественные угрозы — это угрозы, вызванные воздействиями на КС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы — это угрозы КС, вызванные деятельностью человека. Среди искусственных угроз, исходя из мотивации действий, можно выделить:

- непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

- преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).

К преднамеренным угрозам относятся такие вещи, как преступный взлом или кража информации злоумышленником, тогда как случайные угрозы обычно связаны с ошибкой сотрудника, технической неисправностью или событием, причиняющим физический ущерб, например, пожаром или стихийным бедствием [3].

Уязвимость — это организационная ошибка, которая может быть использована для угрозы уничтожения, повреждения или компрометации актива.

Например, уязвимости в программном обеспечении возникают из-за его сложности и частоты обновления. Эти недостатки, известные как ошибки, могут быть использованы хакерами для доступа к конфиденциальной информации.

Однако уязвимости относятся не только к технологическим недостаткам. Это могут быть физические недостатки, такие как сломанный замок, который позволяет посторонним проникнуть в ограниченную часть помещения, или плохо написанные (или несуществующие) правила, которые могут привести к раскрытию информации сотрудниками [4].

Другие уязвимости включают врожденные человеческие слабости, такие как наша восприимчивость к фишинговым электронным письмам; конструктивные недостатки помещения, например, прохудившаяся труба возле розетки; и коммуникационные ошибки, такие как отправка сотрудниками информации не тому человеку.

Риск информационной безопасности должен иметь что-то, что находится под угрозой (актив), действующее лицо, которое может его использовать (угроза), и способ, которым они могут произойти (уязвимость) [5].

Если обнаружилась уязвимость, но нет угрозы ее использования, то практически нет риска. Точно так же можно обнаружить угрозу, но уже защищены все слабые места, которые она может использовать.

Конечно, выявление рисков — это только первый шаг к обеспечению безопасности организации. Их необходимо задокументировать, оценить и расставить приоритеты и принять меры для защиты.

1.2 Угрозы физической безопасности

Физическая угроза — это потенциальная причина инцидента, который может привести к потере или физическому повреждению компьютерных систем. Физическая безопасность представлена как защита персонала, оборудования, программ, сетей и данных от физических ситуаций и событий, которые могут привести к серьезным потерям или причинению вреда предприятию, отделам или организации. Это включает в себя защиту от огня, стихийных бедствий, грабежей, краж, уничтожения и терроризма [6].

Физическая угроза компьютерной системе (КС) может возникнуть в результате потери всей компьютерной системы, повреждения аппаратного обеспечения, повреждения компьютерного программного обеспечения, кражи компьютерной системы, вандализма, стихийного бедствия, включая наводнение, пожар, войну, землетрясение и т. д. Деяния терроризма, включая нападение на глобальный торговый центр, также является одной из основных угроз для компьютерной системы, которую можно определить, как физическую угрозу.

Стихийные бедствия, гражданские беспорядки и терроризм — все это появляется под стихийным бедствием. Бедствие представляется как внезапное несчастье, которое является катастрофическим для предприятия. Это определяет, что есть мало времени, чтобы среагировать во время несчастья.

Выше мы рассмотрели два основных класса потенциальных угроз по природе их возникновения: естественные и искусственные.

Но наряду с этим угрозы можно классифицировать и по различным аспектам реализации и показывающим возможный спектр угроз безопасности компьютерной системе [7].

Классификация угроз по цели:

- несанкционированное чтение информации;

- несанкционированное изменение информации;

- несанкционированное уничтожение информации;

- полное или частичное разрушение объекта информатизации (от кратковременного вывода из строя отдельных модулей до физического стирания системных файлов);

Классификация угроз по принципу воздействия на КС:

- использование легальных каналов получения информации (например, несанкционированное чтение из файла);

- использование скрытых каналов получения информации (например, недокументированных возможностей ОС);

- создание новых каналов получения информации (например, с помощью программных закладок).

Классификация угроз по характеру воздействия на КС:

- активное воздействие - несанкционированные действия в системе;

- пассивное воздействие - несанкционированное наблюдение за процессами в системе.

Классификация угроз по типу используемой слабости защиты:

- неадекватная политика безопасности (в том числе ошибки администратора);

- ошибки и недокументированные возможности ПО (так называемые «люки» - встроенные в систему специальные входы, предназначенные для тестирования или отладки, но случайно оставленные, что позволяет обходить систему защиты);

- ранее внедренные программные закладки.

Классификация угроз по способу воздействия на объект атаки:

- непосредственное превышение пользователем своих полномочий;

- работа от имени другого пользователя или перехват результатов его работы.

Классификация угроз по способу действий нарушителя (злоумышленника):

- в интерактивном режиме (вручную);

- в пакетном режиме (с помощью специальных программ, без участия пользователя).

Классификация угроз по используемым средствам атаки:

- штатные средства без использования дополнительного ПО;

- ПО третьих фирм (вирусы, вредоносные программы; ПО, разработанное для других целей - отладчики, сетевые мониторы и т. д.).

Классификация угроз по объекту атаки:

- аппаратные средства (оборудование);

- программное обеспечение;

- данные;

- персонал.

Рассмотрим подробнее различные типы физических угроз, которые характерны для рассматриваемого объекта исследования, а именно [7]:

Несанкционированный доступ. Одной из наиболее распространенных угроз безопасности в отношении компьютеризированных информационных систем является опасность несанкционированного доступа к конфиденциальной информации. Основная проблема возникает со стороны нежелательных злоумышленников или хакеров, которые используют современные технологии и свои навыки для разделения на предположительно безопасные компьютеры или исчерпать их. Человека, который получает доступ к системе данных по злонамеренным причинам, часто называют взломщиком, а не хакером.

Компьютерные вирусы. Компьютерный вирус — это тип неприятного приложения, преднамеренно написанного для входа в компьютер без разрешения или ведома пользователя, с возможностью дублировать себя, поэтому продолжая распространяться. Некоторые вирусы действительно маленькие, но дублируют, другие могут причинить серьезный вред или негативно повлиять на программу и реализацию системы.

Вандализм. Умышленное повреждение оборудования, программного обеспечения и данных рассматривается как серьезная угроза безопасности информационной системы. Угроза уничтожения заключается в том, что организации временно отказывают в доступе к кому-либо из ее ресурсов. Даже относительно незначительное повреждение элемента системы может оказать существенное влияние на организацию в целом.

Несчастные случаи — случайное неправильное использование или повреждение со временем будут влиять отношение и расположение персонала в дополнение к окружающей среде. Человеческие ошибки оказывают большее влияние на безопасность информационных систем, чем техногенные угрозы, вызванные целенаправленными атаками. Но большинство несчастных случаев, представляющих серьезную угрозу безопасности информационных систем, можно уменьшить.

Диапазон потенциальных угроз бесконечен, но для упрощения разделим их на четыре группы: внутренние, внешние, техногенные и природные [8].

Иногда важная информация может попасть за пределы здания штаб-квартиры, если ее слил сотрудник (чем крупнее компания, тем выше риск). Причины могут быть самыми разными, чтобы унизить работодателя, получить финансовую выгоду (путем продажи данных конкурентам или СМИ) и т. д. Однако нужно помнить, что подобное действие вовсе не обязательно должно быть преднамеренным. иногда достаточно совершить небольшую ошибку, например, потерять ноутбук или отправить электронное письмо на неправильный адрес.

Угрозы также могут исходить извне компании в различных формах. Особенно в случае компаний, которые управляют ценными данными, примером может быть шпион, который, получая деньги извне, присоединяется к компании для кражи данных [9].

Существуют также природные угрозы, такие как пожар или наводнение. В этом случае риску подвергаются не только данные, но и оборудование, и (главное) сотрудники.

1.3 Физическая безопасность в информационной безопасности

Информация часто является самым ценным деловым активом. Лица, принимающие решения, должны серьезно относиться к ее защите.

Физическая безопасность защищает сотрудников, объекты и активы от реальных угроз. Эти угрозы могут исходить от внутренних или внешних злоумышленников, которые ставят под сомнение безопасность данных [10].

Физические атаки могут привести к проникновению в безопасную зону или вторжению в часть запретной зоны. Злоумышленник может легко повредить или украсть важные ИТ-активы, установить вредоносное ПО в системы или оставить порт удаленного доступа в сети.

Важно иметь строгую физическую охрану для защиты от внешних угроз, а также не менее эффективные меры по предотвращению рисков любого внутреннего злоумышленника.

Главное понимать, что физическая безопасность относится ко всему пространству, и она не должна ограничиваться только входной дверью, но и распространяться на все важные помещения объекта информатизации. Любая незащищенная зона может представлять опасность.

Физический ущерб так же опасен, как и цифровая потеря, поэтому необходимо принимать строгие меры физической безопасности.

Физическая безопасность — это защита персонала, оборудования, программного обеспечения, сетей и данных от физических действий и событий, которые могут нанести серьезный ущерб или ущерб предприятию, агентству или учреждению. Это включает в себя защиту от пожара, наводнения, стихийных бедствий, кражи со взломом, кражи, вандализма и терроризма. Приоритетность физической безопасности информации для предотвращения ущерба позволяет избежать потери времени, денег и ресурсов из-за этих событий [11].

В настоящее время существует несколько векторов атак, и они могут быть направлены не только с физической и технологической точки зрения, но и на изучение слабых мест, характерных для человеческого состояния (социальная инженерия).

Некоторые из наиболее распространенных и сложных для предотвращения атак связаны с социальной инженерией, психологическим манипулированием людьми для выполнения действий или раскрытия конфиденциальной информации, например, злоумышленнику удается следовать за авторизованным лицом в зарезервированную область или злоумышленнику удается обмануть уполномоченное лицо, получив его доступ к зарезервированным областям.

Структура физической безопасности состоит из трех основных компонентов: контроль доступа, наблюдение и аудит. Успех программы физической безопасности информации организации часто можно объяснить тем, насколько хорошо реализован, улучшен и поддерживается каждый из этих компонентов [12].

Контроль доступа

Ключом к максимизации мер физической безопасности является ограничение и контроль доступа людей к объектам, объектам и материалам. Контроль доступа включает в себя меры, принимаемые для ограничения доступа к определенным активам только уполномоченному персоналу. Примеры этих корпоративных барьеров часто включают идентификационные бейджи, клавиатуры и охранников.

Здание часто является первой линией обороны для большинства систем физической безопасности. Такие предметы, как заборы, ворота, стены и двери, действуют как физические препятствия для проникновения преступников. Дополнительные замки, колючая проволока, видимые меры безопасности и знаки — все это снижает количество случайных попыток киберпреступников.

Более сложные средства контроля доступа включают технологический подход. Сканеры удостоверений личности и связь ближнего радиуса действия удостоверения личности — это методы физической аутентификации, которые службы безопасности могут использовать для проверки личности лиц, входящих и выходящих из различных объектов.

Используя тактически расположенные препятствия, организации могут затруднить доступ злоумышленников к ценным активам и информации. Точно так же эти барьеры увеличивают время, необходимое злоумышленникам для успешного совершения актов воровства, вандализма или терроризма. Чем больше препятствий существует, тем больше времени у организаций есть, чтобы отреагировать на угрозы физической безопасности и сдержать их.

Но преступники — не единственная угроза, которую можно свести к минимуму с помощью контроля доступа. Барьеры, такие как стены и заборы, также могут использоваться для защиты зданий от экологических бедствий, таких как землетрясения, оползни и наводнения. Эти риски чрезвычайно зависят от местоположения. Организации, которые направляют ресурсы на такие меры ужесточения, должны сбалансировать затраты и выгоды от их реализации до инвестирования.

Наблюдение

Это один из наиболее важных компонентов физической безопасности как для предотвращения, так и для восстановления после инцидента. Наблюдение в данном случае относится к технологиям, персоналу и ресурсам, которые организации используют для наблюдения за деятельностью различных реальных местоположений и объектов. Эти примеры могут включать патрульные охранники, тепловые датчики и системы оповещения.

Наиболее распространенным типом наблюдения являются камеры замкнутого телевидения, которые фиксируют действия в комбинации областей. Преимущество этих камер наблюдения заключается в том, что они столь же ценны для выявления преступного поведения, как и для его предотвращения. Злоумышленники, которые видят камеру видеонаблюдения, менее склонны взламывать здание или совершать акты вандализма из-за страха, что его личность будет записана. Точно так же, если конкретный актив или часть оборудования украдены, наблюдение может предоставить визуальные доказательства, необходимые для выявления преступника и его тактики.

Аудит

Аудит — это превентивная мера и инструмент реагирования на инциденты. Планы аварийного восстановления, например, сосредоточены на качестве протоколов физической безопасности — насколько хорошо компания идентифицирует угрозу, реагирует на нее и сдерживает ее. Единственный способ гарантировать, что такие политики и процедуры аварийного восстановления будут эффективными, когда придет время, — это внедрить активный аудит [3].

Аудит должен проводиться на регулярной основе, чтобы отработать распределение ролей и обязанностей при угрозе физической безопасности информации и свести к минимуму вероятность ошибок.

Создание точного перечня необходимых мер защиты во многом зависит от потребностей компании. Чем больше ценность оборудования или данных, тем больше шагов необходимо предпринять для их защиты. Надлежащая система сигнализации необходима для предотвращения проникновения посторонних лиц в офис или серверные помещения. Перед тем, как кто-либо войдет в офисные помещения, он должен пройти через соответствующие контрольно-пропускные пункты (например, ворота или охрану). С другой стороны, вход в здание должен быть защищен не только замками. Вместо простого ключа можно использовать магнитные карты. Эти карты позволяют компании проверять, кто находится или находился внутри здания, или ограничивать доступ отдельных сотрудников в офис в определенное время [13].

Также стоит инвестировать в системы камер и датчиков, которые отслеживают движения. В этом случае необходимо установить освещение, которое облегчит наблюдение за особо ответственными участками (особенно в нерабочее время). Детекторы дыма, тепла или воды обеспечат быстрое реагирование в случае пожара или затопления в офисе. В случае данных с высоким риском и/или особо опасных мест охранники должны постоянно охранять входы в здание или серверные комнаты.

Другой вариант — использовать IoT-решения для защиты серверных или даже мобильных ценных товаров. С помощью камер, датчиков, цифровых ключей и средств отслеживания активов можно реализовать целостные системы, в которых разумно сочетаются пассивный мониторинг и активная защита.

Существует множество различных систем безопасности. Однако перед реализацией любого из них следует максимально тщательно проанализировать весь спектр возможных сценариев.

Традиционные методы защиты данных, программного обеспечения, оборудования и человеческих ресурсов должны быть усовершенствованы. PSaaS (физическая безопасность как услуга) — это облачный интерфейс, который позволяет управлять дверями, замками, сигнализацией и многим другим [14].

Основным преимуществом этого решения является то, что офис можно обеспечить безопасностью в любое время, в любом месте и с помощью любого устройства. Например, при открытии или закрытии двери, активации или деактивации сигнализации менеджеры немедленно получат уведомление о том, когда и кем было выполнено действие. Так можно будет быстрее среагировать и принять соответствующие меры. Кроме того, разрешениями можно легко управлять, чтобы сотрудники имели доступ только к тем областям, которые им нужны.

Хотя масштаб и сложность ваших средств контроля и мониторинга будут различаться в зависимости от местоположения и потребностей, существуют передовые методы, которые можно применять повсеместно для обеспечения надежной физической безопасности информации.

1.4 Нормативно-правовая основа создания системы физической защиты информации

Для разработки системы физической защиты информации, необходимо иметь нормативно-правовую базу.

Множество законов и нормативных актов прямо или косвенно регулируют различные требования информационной безопасности и защиты информации для любого конкретного предприятия. Понимание того, как эти законы и правила влияют на потребность компании в безопасности, поможет компаниям избежать дорогостоящих судебных исков, потери общественного доверия и репутации и ненужных простоев.

Однако одного только соблюдения законодательства недостаточно, чтобы сделать большинство компаний действительно безопасными. Компании должны будут сделать гораздо больше, чтобы обеспечить себе эффективную безопасность. При этом эти законы и правила могут служить хорошей отправной точкой для определения целей компании в области информационной безопасности и защиты информации, поскольку соблюдение этих законов является абсолютной необходимостью в любом плане кибербезопасности.

Нормативно-правовой основой создания системы обеспечения информационной безопасности и защиты информации являются федеральные и международные законы, правила и рекомендации.

Среди основных документов по защите информации, в первую очередь, Конституция Российской Федерации [15]. В ст. 23 устанавливается право на неприкосновенность частной жизни, личную и семейную тайну, тайну телефонных переговоров, почтовых и других сообщений. В этом случае ограничение этого права допускается только на основании судебного решения. Конституция Российской Федерации не допускается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Основные законы Российской Федерации, также «О государственной тайне» 21 июля 1993 года № 5485-1; «О коммерческой тайне» от 29 июля 2004 года (он содержит информацию, которая является коммерческой тайной, коммерческую тайну, разглашение сведений, составляющих коммерческую тайну) и постановления правительства «Об утверждении перечня сведений, которые не могут быть коммерческой тайной», «Об утверждении перечня конфиденциальной информации», «Об утверждении перечня сведений, составляющих государственную тайну». Ряд подзаконных нормативных актов регулируют организацию защиты государственной тайны, ведение секретного делопроизводства, порядок допуска к государственной тайне должностных лиц и граждан Российской Федерации: «Об утверждении Положения о лицензировании деятельности по технической защите конфиденциальной информации» и т. д. [16-18]

Ряд вопросов, связанных с защитой конфиденциальной информации, регулируется Уголовно-процессуального кодексом, он содержит положения, касающиеся тайны переписки, телефонных и иных переговоров, почтовых, телефонных и иных сообщений.

Нормы, регулирующие отношения, возникающие при работе с конфиденциальной информацией, также содержатся в Гражданском кодексе. Критерии, по которым информация является конфиденциальной и коммерческой тайной, содержатся в ст.139 Гражданского кодекса. В нем говорится, что информация является служебной или коммерческой тайной в случае, когда:

- информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;

- информация не является свободно доступной на законном основании, и обладатель принимает меры по охране ее конфиденциальности.

Уголовный кодекс содержит ряд положений, касающихся защиты информации с ограниченным доступом и ответственности за ее неправильное использование.

Особый вид ответственности установлен за нарушение коммерческой тайны: лишение соответствующей сертификации, лицензии уполномоченным органом. Но привлечение к этому типу ответственности, как правило, не получило к настоящему времени широкого распространения.

Для разработки системы обеспечения информационной безопасности и защиты информации необходимо включать стандарты — лучшие практики, которые были собраны и проверены доверенной организацией.

Система безопасности информации основана на международном стандарте для информационной безопасности ISO 17799 («Правила и нормы при обеспечении безопасности информации»). ISO 17799 содержит общие рекомендации по организации информационной безопасности, обеспечивая базовый уровень безопасности информационных систем, типичных для большинства организаций. Когда это стандарт описывает вопросы, которые необходимо учитывать при проектировании системы и не накладывает ограничений на использование конкретных компонентов инструменты инфраструктуры безопасности. ISO 17799 содержит следующие разделы описывают различные аспекты безопасности информационных систем [19]:

- стратегия информационной безопасности — описывает необходимость иметь поддержку высшего руководства путем принятия стратегии информационной безопасности;

- институциональная — дает представление о форме организации, для оптимального внедрения системы информационной безопасности;

- классификация информационных ресурсов — описывает необходимые шаги для обеспечения безопасности информационных ресурсов и средств массовой информации;

- управление персоналом — описывает влияние человеческого фактора на информационную безопасность и мер, направленных на снижение риска, связанного с ней;

- физическая безопасность — описывает меры по обеспечению физической безопасности компонентов для информационных инфраструктур;

- администрация информационных систем — описывает основные аспекты безопасности при работе серверов, рабочих станций и других информационных систем;

- контроль доступа — описывает необходимость четкого различия между правами и обязанностями при работе с информацией;

- разработка и сопровождение информационных систем — описывает ключевые механизмы по обеспечению безопасности информационных систем;

- непрерывность бизнеса — описывается деятельность по обеспечению непрерывной работы организаций;

- технические требования — описывает общие требования к информационной безопасности и мерам по проверке соответствия систем информационной безопасности с этими требованиями.

В разделах 9 и 10 приведено описание выбора защитных мероприятий на основании документов по базовой безопасности, которые могут быть использованы или для системы ИТ, или для образования пакета защитных мероприятий для ряда систем ИТ, которые применяемы в определенных условиях. В разделе 10 предложен подход, который направлен на решение проблем безопасности от угроз, который позволяет разработать оптимальный пакет защитных мероприятий. Разделы 9 и 10 организация может применять для выбора защитных мероприятий без детальных оценок всех вариантов, которые подпадают под область использования безопасности. Однако и при более детальной оценке, т.е. при детальном анализе рисков, при выборе защитных мероприятий разделы 9 и 10 все еще будут полезными.

Используем схему выбора защитных мероприятий, описание которых приведено в разделах 7, 9 и 10 (рисунок 1.1).

Международная организация по стандартизации и Международная электротехническая комиссия (МЭК) совместно опубликовали серию стандартов МОС/МЭК 27000, касающихся информационной безопасности.

ISO 27001 дает основу для принятия решения о соответствующей защите. Точно так же, как, например, нельзя скопировать маркетинговую кампанию другой компании в свою, этот же принцип действует и в отношении информационной безопасности — его нужно адаптировать под свои нужды.

Рисунок 1.1 — Выбор защитных мер по Стандарту

Способ, которым ISO 27001 говорит для достижения этого индивидуального метода зашиты информации, заключается в оценке рисков и обработке рисков. Это не что иное, как систематический обзор информационных опасностей, которые могут случиться в компании (оценка рисков), а затем принятие решения о том, какие меры безопасности следует принять, чтобы предотвратить эти опасности (обработка рисков) (рисунок 1.2).

Рисунок 1.2 — Метод выбора защиты в ISO 27001

Вся идея здесь в том, что у организации имеется возможность реализовывать только те меры безопасности, которые необходимы из-за рисков, но эта логика также означает, что нужно реализовать все элементы управления, которые требуются из-за рисков, и что нельзя исключить некоторые из них просто потому, что они не нравятся.

Большинство инцидентов происходит не из-за поломки компьютеров, а из-за того, что пользователи из бизнес-подразделения организации неправильно используют информационные системы.

И такие нарушения не могут быть предотвращены только техническими мерами безопасности — необходимы также четкие политики и процедуры, обучение и осведомленность, юридическая защита, дисциплинарные меры и т. д. Реальный опыт показывает, что чем разнообразнее применяются меры безопасности, тем выше их уровень. безопасности достигается.

А если не вся конфиденциальная информация находится в цифровом виде (вероятно, все еще есть бумаги с конфиденциальной информацией), то можно сделать вывод, что ИТ-защиты недостаточно, и что ИТ-отдел, хотя и очень важный в проекте по информационной безопасности, не может запустить такой проект в одиночку.

В ISO 27001 признано, что ИТ-безопасность составляет только 50% информационной безопасности — этот стандарт говорит о том, как запустить внедрение информационной безопасности в рамках проекта в масштабах компании, в котором участвуют не только ИТ, но и бизнес-сторона организации.

ISO 27001 дает вам систематический контрольный список того, что должно делать высшее руководство:

- установить свои бизнес-ожидания (цели) в отношении информационной безопасности;

- опубликовать политику о том, как контролировать, оправдываются ли эти ожидания;

- определить основные обязанности по информационной безопасности;

- предоставить достаточно денег и человеческих ресурсов;

- регулярно проверять, действительно ли оправдались все ожидания по информационной безопасности и защите информации.

В ISO 27001 описано несколько методов для улучшения безопасности с течением времени, делая ее еще лучше, чем она была в то время, когда проект был на пике своего развития. Эти методы включают мониторинг и измерение, внутренние аудиты, корректирующие действия и т. д.

Управление рисками в ISO 27001 представляет собой шесть основных шагов (рисунок 1.3).

1) Методология оценки рисков ISO 27001

Необходимо определить правила того, как будет осуществляться управление рисками: определить, необходима качественная или количественная оценка риска, какие шкалы предполагается использовать для качественной оценки, каков будет приемлемый уровень риска и т. д.

2) Реализация оценки рисков

Перечислить все активы, затем угрозы и уязвимости, связанные с этими активами, оценить влияние и вероятность для каждой комбинации активов/угроз/уязвимостей, вычислить уровень риска.

Рисунок 1.3 — Основные этапы оценки и обработки рисков по ISO 27001

3) Реализация обработки рисков

Необходимо сосредоточиться на самых важных, так называемых «неприемлемых рисках».

При реализации обработки рисков в соответствии с ISO 27001 можно выбрать один из четырех вариантов обработки (т. е. смягчения) каждого неприемлемого риска.

4) Отчет об оценке и избавления от рисков

Нужно задокументировать все, что было сделано в предыдущих пунктах.

5) Заявление о применимости

Этот документ фактически показывает профиль безопасности компании — на основе результатов обработки рисков в соответствии с ISO 27001 необходимо перечислить все средства контроля, которые внедрили, почему их внедрили и как.

6) План обработки рисков

Это шаг, на котором необходимо перейти от теории к практике.

Цель Плана обработки рисков — точно определить, кто будет внедрять каждый элемент управления, в какие сроки, с каким бюджетом и т. д.

ISO/IEC 27005 — это стандарт, предназначенный исключительно для управления рисками информационной безопасности. Это очень полезно, если необходимо получить более глубокое представление об оценке и устранении рисков информационной безопасности.

ВЫВОДЫ РАЗДЕЛА 1

2 ХАРАКТЕРИСТИКА УГРОЗ ФИЗИЧЕСКОЙ БЕЗОПАСНОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ

2.1 Описание объекта информатизации

Полное название учреждения — ФГБОУ ВО «Севастопольский государственный университет» (далее Университет) [20].

Университет ведет подготовку специалистов по широкому перечню, технических, гуманитарных, естественно-научных направлений для промышленности, образования и науки.

СевГУ готовит профессионалов по более чем ста специальностям в таких областях, как атомная энергетика и промышленность, приборостроение, машиностроение, автомобилестроение, кораблестроение, радиотехника, электроника и наноэлектроника, физика, информационная безопасность, педагогика, лингвистика, филология, история, психология, юриспруденция, экономика.

В структуру университета входят 12 институтов, колледж и лицей-предуниверсарий:

- Политехнический институт;

- Институт информационных технологий;

- Морской институт;

- Институт финансов, экономики и управления;

- Гуманитарно-педагогический институт;

- Институт ядерной энергии и промышленности;

- Юридический институт;

- Институт радиоэлектроники и управления в технических системах,

- Институт общественных наук и международных отношений,

- Институт развития города,

- Институт перспективных исследований;

- Институт дополнительного профессионального образования;

- Морской колледж;

- Лицей-предуниверсарий.

На базе университета создан Военный учебный центр (прежнее название — военная кафедра).

Университет является организацией, эксплуатирующей исследовательские ядерные установки (Исследовательский ядерный реактор ИР-100).

В структуре университета 81 кафедра, более 60 научно-образовательных, экспериментальных, исследовательских, а также учебных центров и лабораторий.

Научный потенциал университета представляют 888 научно-педагогических работников, количество преподавателей со степенью составляет 72% от численного состава университета.

Университет издаёт 13 печатных изданий, среди которых есть те, что включены в базу РИНЦ:

Научный журнал «Инфокоммуникационные и радиоэлектронные технологии».

Научный журнал «Гуманитарно-педагогическое образование».

Научный журнал «Актуальные вопросы биологической физики и химии» (БФФХ).

Научный журнал «Энергетические установки и технологии».

В Университете разработаны и действуют специальные программы обучения, позволяющие его студентам уже в процессе получения знаний активно сотрудничать с государственными и коммерческими предприятиями страны, получая после окончания института широкие возможности для трудоустройства.

Преподавательский состав Университета обладает высоким профессиональным уровнем.

Организационная структура Университета представлена на рисунке 2.1.

Рисунок 2.1 — Организационная структура университета

2.2 Анализ уязвимости объекта информатизации

Объектом информатизации является корпус IV УниверситетаСевГУ, которыйрасположен по адресу г. Севастополь, ул. Курчатова, 7. Вокруг здания находятся другие жилые дома. В непосредственной близости от объекта проложены подземные коммуникации водопровода (10) и теплопровода (11), а на удалении около 25 м — воздушные линии электропередачи (2). С восточной стороны находится дорога (1), на расстоянии около 20 м находится парковка автомобилей (6). С южной стороны находится двухполосная автомобильная трасса (10). План здания корпуса IVпредставлен на рисунке 2.2.

Рисунок 2.2 — План здания корпуса IVУниверситета СевГУ

Стены объекта выполнены из инкерманского камня, толщина кладки до 1 м. Внутренние стены до 0,5 м., выполненные кирпичной кладкой. материал пола — камень с паркетным покрытием. В здании установлены деревянные окна с одинарным остеклением, толщина стекла 3 мм. Двери в помещениях Университета деревянные и металлические.

Основной вход на объект расположен в центральной части здания. Есть еще несколько дополнительных входов по периметру здания. Охрану объекта круглосуточно осуществляет собственная служба безопасности.

Устройств управления механизмами открывания прохода нет. Освещение объекта электрическое. Электропроводка по стенам проложена в специальных металлических и пластиковых кабель-каналах, за подвесными потолками в пластиковых трубах. Система аварийного электропитания на объекте отсутствует, имеются только блоки бесперебойного питания, которыми оснащены все компьютеры.

В здании расположены и находятся в рабочем состоянии инженерные системы: отопление; холодное и горячее водоснабжение; вентиляции и кондиционирование воздуха; автоматическая пожарная сигнализация; тревожная сигнализация; системы оповещения и управления эвакуацией.

Оконные конструкции не обладают необходимым классом защиты к разрушающим воздействиям.

Разработка мер физической защиты информации выполняется для помещений первого этажа корпуса IV Университета. План этажа представлен в приложении А.

Объектом защиты являются информация, носители информации, в отношении которых необходимо обеспечивать защиту от нежелательного несанкционированного вмешательства, а также от попыток хищения, незаконной модификации и/или разрушения.

В соответствии с семирубежной моделью ЗИ при организации КСЗИ для помещений первого этажа корпуса IV Университета. В качестве объектов защиты рассматриваются:

- прилегающая к корпусу территория;

- первый этажздания корпуса;

- помещения, предназначенные для обработки информации с ограниченным доступом (серверная комната); хранилища носителей информации, расположенные в кабинетах (шкафы, сейфы);

- физические поля (электромагнитные, оптические); системы, линии и средства связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации с ограниченным доступом;

- аппаратные средства (серверы, рабочие станции, периферийное оборудование), средства и системы информатизации и другие технические средства защиты информации;

- программные средства (операционные системы, специальное ПО, СУБД, интерфейсное и сетевое ПО);

- информационные ресурсы, содержащие конфиденциальную информацию (в частности персональные данные);

Кроме того, объектами защиты являются:

- средства отображения, обработки, воспроизведения и передачи конфиденциальной информации, в том числе: ЭВМ, средства видео-, звукозаписывающей и воспроизводящей техники;

- системы обеспечения функционирования первого этажа корпуса IV Университета (электро-, водоснабжение, кондиционирование и др.);

- сотрудники организации.

Возможность утечки сведений конфиденциального характера имеется по акустическим каналам т.к. в кабинетах Университета могут вестись разговоры о тех или иных сведениях о работе университета, о его учебно-научной деятельности.

Также возможны утечки по материально-вещественным каналам, потому что вышедшие из строя магнитные и иные носители информации ЭВМ, бумага, на которых во время эксплуатации содержалась информация с ограниченным доступом, не всегда уничтожаются в специальном устройстве-уничтожителе.

Существует возможность утечки информации из идентифицированных оптических каналов — от просмотра или фотографии через окна и двери. Таким образом, утечка информации через оптический канал должна быть полностью локализована.

Кроме того, у Университета имеются компьютеры, которые обрабатывают различные виды конфиденциальности информации, начиная с обычной конфиденциальной информации и заканчивая информацией со штампом «особой важности». Все компьютеры имеют «Сертификат соответствия», то есть прошли соответствующие проверки на соответствие нормативным требованиям по классу защиты информационной безопасности 2В.

Утечка визуальной информации, доступна их следующих оптических каналов:

- источник визуальной сигнализации — окна — Волоконно-лазерный приемник злоумышленника;

- источник визуальной сигнализации — двери — злоумышленник.

Для оценки угроз визуальной информации, необходима оценка уровня оптического сигнала в возможных местах оптического приемника злоумышленника. Такие места:

- здание;

- аудитории и кабинеты Университета.

Утечка информации в видеречи, имеется в следующих акустических каналах:

- источник речевого сигнала стена в соседней комнате акустический приемник для захвата;

- источник речевого сигнала приоткрытая дверь в приемную акустический приемник;

- источник акустического сигнала подслушивающее устройство радиоустройство злоумышленника;

- источник акустического сигнала стеклянные окна модулированный лазерный луч система лазерного детектора подслушивания;

- акустический источник сигнала -воздух акустический приемник;

- источник акустического сигнала случайный акустоэлектрический преобразователь на аппаратном уровне побочное излучение технического оборудования приемник сигнала;

- источник акустического сигнала случайный акустоэлектрический преобразователь аппаратно-проводных кабелей за пределами контролируемой зоны.

Для оценки угроз речевой информации необходима оценки уровня акустического сигнала в возможных местах акустического приемника злоумышленника. Такие места:

- аудитории и кабинеты Университета;

- коридор;

- связанные с кабинетом пространства;

- трубы отопления за пределами аудиторий и кабинетов Университета;

- вентиляционный канал.

Кроме того, речевая информация в Университете может быть передана по радио или телефону, устройствами электроснабжения и со стороны электромагнитного излучения основного и вспомогательного оборудования и систем, а также помощью лазерного подслушивания. Поскольку носители при передаче радиочастотной энергии и электрического тока представляют угрозу утечки информации, обсуждаются меры по предотвращению перехвата радио и электроники в информационном канале. Также акустическая информация может быть извлечена с помощью оборудования лазерного подслушивания, установленного в домах напротив Университета.

В качестве критерия для защиты речевой информации используются отношения сигнал / шум, при котором речевые данные для прослушивания ниже приемлемого уровня. В соответствии с существующими правилами распознавания речи не приемлемо, если отношение сигнал помехи / мощности 6-8 и акустический сигнал не воспринимается человеком как слова, если отношение интерференция / сигнал превышает 8-10. Поэтому, чтобы гарантировать безопасность соотношения сигнала данных голос / шум должно быть не менее 0,1 или10 дБ.

В соответствии с ГОСТ Р 50840-95 понимание передаваемой речи с большим напряжением внимания, переспросами и повторениями наблюдается при слоговой разборчивости 25-40 %, а при слоговой разборчивости менее 25 % имеет место неразборчивость связного текста (срыв связи) на протяжении длительных интервалов времени [21]. Учитывая взаимосвязь словесной и слоговой разборчивости, можно рассчитать, что срыв связи будет наблюдаться при словесной разборчивости менее 71%.

Звукоизоляция оценивается величиной затухания акустического сигнала и обеспечивается с помощью архитектурно-инженерных решений, а также применения специальных строительных и отделочных материалов. Звукоизоляция строительных конструкций приведена в таблице Б.1 Приложения Б.

Если звукоизоляция помещения не обеспечивает требуемой эффективности защиты информации, то для ее повышения применяют специальные звукопоглощающие материалы.

Звукопоглощающая способность окон зависит в основном от поверхностной плотности стекла и степени прижатия притворов (таблица Б.2 Приложения Б).

Стандартные одностворчатые двери не могут удовлетворять требованиям по звукоизоляции даже при соблюдении требований по герметичности и тщательности в исполнении и подгонке дверного полотна к дверной коробке и устранении зазоров между дверью и полом (Таблица Б.3 Приложения Б).

Уровни громкости речевой информации в возможных местах акустического атакующего приемника, когда уровень источника 70 дБ приведены в таблице 2.1.

Таблица 2.1 — Уровни громкости речевой информации

Характерис-тика речи	Гром-кость, дБ	Основной эле-мент среды ра-спространения	Величина звукоизоляции, дБ	Место нахождения акустического приемника	Уровень шума, дБ
Спокойный разговор	50-60	Стена и дверь в кабинеты и аудитории	27	Кабинеты и аудитории	30
Характеристика речи	Гром-кость, дБ	Основной эле-мент среды распространения	Величина звукоизоляции, дБ	Место нахождения акустического приемника	Уровень шума, дБ
Громкая речь	60-70	Стена в коридор	51	Коридор	35-40
Шумное совещание	70-80	Стена в смеж-ную комнату	40	Соседнее помещение
Все виды речи	50-80	Межэтажное перекрытие	50	Помещения на верхнем и нижнем этажах	25-30
		Вентиляцион-ный короб	0,2 дБ/м 3-7дБ на изгиб	В вентиляции-онномотвер-стии другого помещения	30
		Трубы отопления	25-35	На трубе отопления	30

Из данных таблицы 2.1 видно, что наибольшую угрозу создает канал утечки, приемник которого расположен в аудиториях и кабинетах Университета и в коробе вентиляции.

Также на объекте не предусмотрена служба охраны, поэтому необходимо организовать систему видеонаблюдения, чтобы предотвратить проникновение злоумышленника на объект и несанкционированные действия на объекте.

Канал утечки, приемник которого находится в коридоре, можно не принимать во внимание.

Радиоэлектронные каналы утечки информации в кабинетах и аудиториях Университета: простые каналы и часть композитных акустических электронных каналов утечки информации.

Простые каналы формируются побочным электромагнитным излучением и радиоволнами, а также электрическими приборами, размещенными в кабинетах и аудиториях Университета, в том числе компьютеры при обработке на нем конфиденциальной информации.

Кроме того, сигналы опасности случайных акустоэлектрических преобразователей в радио и электрических устройствах могут быть добавлены к простому оптическому и акустическому каналам радиоэлектронных каналов утечки информации и создания составного пути акустооптического, электронного и радиоэлектронного канала утечки информации. Электронные источники каналов утечки, содержащие акустооптические электронные компоненты:

- распределительные устройства и кабели АТС;

- электрические приборы в кабинетах и аудиториях Университета (часы);

- акустические радио- и телепередатчики подслушивающих устройств.

Низкочастотное (НЧ) и высокочастотное (ВЧ) излучение имеет очень широкий диапазон частот — от нескольких Гц до тысячи МГц (длина волны — от сотни метров до десятка сантиметров). Здание корпуса IV Университета СевГУ, учитывая его размеры, это ближняя дистальная переходная зона сигналов. В зависимости от типа передатчика может доминировать электрическое или магнитное поле.

Информация находится в безопасности, если уровни ее носителей в виде электрических сигналов и напряженности поля не превышает нормы. Поэтому, чтобы предотвратить перехват информации опасными сигналами, необходимо определить уровни сигнала по периметру и в случае неприемлемо большого уровня определить рациональные меры, чтобы их уменьшить.

Уменьшение затухания электромагнитной волны в бетонных стенах с увеличением частоты происходит за счет уменьшения экранирующего эффекта металлического армирования бетона.

С ослаблением электромагнитной волны железобетонных стен здания при 20 дБ диапазон его распространения уменьшается на порядок. Учитывая, что некоторые окна кабинетах и аудиториях Университета с видом на улицу, риск перехвата радиоизлучений от ПК в кабинетах и аудиториях Университета можно оценить как «средний» и преобразователей электрических сигналов в акустоэлектрические — «низкий».

Таким образом, наибольший ущерб информации, содержащейся в кабинетах и аудиториях Университета, могут вызвать следующие угрозы:

- подслушивание разговора через открытую дверь в кабинетах и аудиториях Университета;

- подслушивание громко говорящих через стену, отделяющую комнату и коридор;

- перехват побочных электромагнитных излучений радиоэлектронных средств и электрических приборов, расположенных и работающих в кабинетах и аудиториях Университета во время разговора;

- перехват опасных сигналов, содержащих речевую информацию и которые распространяются по телефонным линиям, электронные часы, линии питания и заземления;

- прослушивание стетоскоп речи от информационных акустических сигналов, распространяющихся через трубы отопления;

- подслушивания речи информационных акустических сигналов, распространяющихся по воздуховодам;

- подслушивание с помощью средств звуковой прослушки, установленных в распределительном шкафу ЛВС.

2.3 Описание существующих технологий физической защиты информации объекта информатизации

В Университете задачи по защите информации возложены на IT-отдел. Комплексной политики безопасности пока не разработано, так не было проведено полное исследование информационных угроз.

Специалисты IT-отдела настроили локальную сеть, раздали всему персоналу пароли. Не была предусмотрена обязательная периодическая смена паролей. Уровни доступа не были учтены. Система контроля и руководства доступом планировалась к разработке, но так и не была полностью сконфигурирована.

Результаты оценки системы безопасности информации отражены в таблице 2.2.

Таблица 2.2 — Анализ выполнения задач по обеспечению информационной безопасности

Задачи по обеспечению информационной безопасности	Степень выполнения
обеспечение безопасности деятельности Университета, защита информации и сведений, которые являющихся коммерческой тайной;	На уровне защиты сети от несанкционированного доступа и действий пользователей защита недостаточна. Журналы событий настроены недостаточно прозрачно. Правильное разграничение прав пользователей не проведено.

Окончание таблицы 2.2

Задачи по обеспечению информационной безопасности	Степень выполнения
организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной) защите коммерческой тайны;	От внешних физических угроз информация защищена недостаточно хорошо, нет системы охраны периметра, система видеонаблюдения и охранников находятся на недостаточном уровне.
организация специального делопроизводства, которое исключает несанкционированное получение сведений, которые являются коммерческой тайной;	Защита документов не организована должным образом.
предотвращение необоснованного допуска и открытого доступа к сведениям и работам, которые составляют коммерческую тайну;	Правильное разграничение прав пользователей не проведено.
выявление и локализация возможных угроз информации в процессе повседневной деятельности Университета и в экстремальных (авария, пожар и др.) ситуациях;	От внешних физических угроз информация защищена недостаточно хорошо

Требуется выполнить моделирование угроз и создать модель нарушителя информационной безопасности на физическом уровне.

2.4 Разработка модели нарушителя информационной безопасности

Источниками угроз несанкционированного физического доступа к информации в Университете могут выступать нарушители. Нарушители случайно или преднамеренно совершающие действия, следствием которых может стать нарушение одного из свойств безопасности информации и привести к угрозам информационной безопасности Университета [1].

Нарушители подразделяются на два типа в зависимости от возможностей доступа к информационной системе:

- внешние — лица, которые не имеют права доступа к источникам информации Университета или её отдельным компонентам и реализующие угрозы безопасности информации из-за границ системы;

- внутренние — лица, которые имеют право постоянного или разового доступа к источникам информации Университета или к её отдельным компонентам.

Угрозы безопасности информации в Университете могут быть реализованы следующими видами нарушителей [22]:

Внутренние нарушители:

- персонал Университета;

- представители IT-отдела;

- вспомогательный персонал (уборщики, охрана);

- технический персонал (жизнеобеспечение, эксплуатация).

Внешние нарушители:

- уволенные сотрудники;

- криминальные структуры;

- потенциальные преступники и хакеры;

- недобросовестные партнеры;

- технический персонал поставщиков услуг;

- представители надзорных организаций и аварийных служб;

- представители силовых структур.

Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом.

Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации.

В зависимости от потенциала, требуемого для реализации угроз безопасности информации, нарушители подразделяются [23]:

- на нарушителей, которые обладают низким потенциалом нападения при реализации угроз безопасности информации в Университете;

- на нарушителей, которые обладают повышенным (средним) потенциалом нападения при реализации угроз безопасности информации в Университете;

- на нарушителей, которые обладают высоким потенциалом нападения при реализации угроз безопасности информации в Университете.

Угрозы безопасности информации могут быть реализованы нарушителями за счёт антропогенного, техногенного и социального факторов.

Потенциал нарушителей и их возможности приведены в таблице 2.3.

Таблица 2.3 — Потенциал нарушителей

Потенциал нарушителей	Виды нарушителей	Возможности по реализации угроз безопасности информации
С низким потенциалом	Персонал Университета (преподавательский состав, руководство); вспомогательный персонал (уборщики, охрана); технический персонал (жизнеобеспечение, эксплуатация); представители надзорных организаций и аварийных служб; работники, которые обижены на организацию и её руководителей	Имеют возможность получить информацию об уязвимостях информационных ресурсов Университета, методах и средствах реализации угроз безопасности информации, опубликованную в общедоступных источниках. Возможны угрозы, которые исходят от практики обмена паролями между сотрудниками, которые выполняют сходные функции. Низкая квалификация персонала, недостаточная для корректной работы с базой данных Университета. используют только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;

Потенциал нарушителей

Виды нарушителей

Возможности по реализации угроз безопасности информации

С низким потенциалом

Персонал Университета (преподавательский состав, руководство);

вспомогательный персонал (уборщики, охрана);

технический персонал (жизнеобеспечение, эксплуатация);

представители надзорных организаций и аварийных служб;

работники, которые обижены на организацию и её руководителей

Имеют возможность получить информацию об уязвимостях информационных ресурсов Университета, методах и средствах реализации угроз безопасности информации, опубликованную в общедоступных источниках. Возможны угрозы, которые исходят от практики обмена паролями между сотрудниками, которые выполняют сходные функции.

Низкая квалификация персонала, недостаточная для корректной работы с базой данных Университета.

используют только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;

Окончание таблицы 2.3

Потенциал нарушителей

Виды нарушителей

Возможности по реализации угроз безопасности информации

С повышенным (средним) потенциалом

Представители IT-отдела: разработчики ПО, администраторы АИС; системные администраторы;

производители ПО, технический персонал поставщиков услуг;

недобросовестные партнеры

Обладают всеми возможностями нарушителей с базовым потенциалом.

Имеют осведомленность о мерах защиты информации, применяемых в информационной системе Университета.

Имеют возможность получить информацию об уязвимостях отдельных информационных ресурсах Университета.

Имеют доступ к сведениям о структурно-функциональных характеристиках и особенностях функционирования информационной системы и портала Университета.

С высоким потенциалом

Криминальные структуры;

потенциальные преступники и хакеры;

представители силовых структур.

Обладают всеми возможностями нарушителей с базовым и повышенным потенциалами.

Имеют возможность осуществлять несанкционированный доступ из выделенных сетей связи, к которым возможен физический доступ. Имеют возможность получить доступ к телекоммуникационному оборудованию и другим программно-техническим средствам Университета для преднамеренного внесения в них уязвимостей или программных закладок.

Имеют хорошую осведомленность о мерах защиты информации, применяемых в Университете.

Имеют высокую осведомленность о расположении корпусов и внутренних помещений Университета, входов и выходов.

2.5 Разработка модели угроз информационной безопасности

Угроза физической безопасности может исходить от человеческого фактора, стихийных бедствий и самих информационных технологий. Поэтому для предотвращения угроз нужны правильные инструменты для контроля текущей деятельности, оценки потенциального воздействия и составления соответствующих планов, чтобы бизнес-процессы Университета не пострадали [24].

Для эффективности физической защиты безопасности необходимо описать модель угроз информационной безопасности.

Моделирование угроз представляет собой набор процедур, с помощью которых илиорганизации оптимизируют сеть

безопасности путем определения целей и уязвимостей в сети, а затем выявления и реализациимент

стратегии смягчения для предотвращения или смягчения воздействия угроз наонсистема.Подходы к угрозе

Моделирование фокусируется на определении областей, которые требуют наибольшей эффективностифорт для защиты системы. Кроме

процесс носит итеративный характер и включает в себя набор активов, функционалies, профили безопасности и

предпринятые действия.

Моделирование угроз представляет собой набор процедур, с помощью которых илиорганизации оптимизируют сеть

безопасности путем определения целей и уязвимостей в сети, а затем выявления и реализациимент

стратегии смягчения для предотвращения или смягчения воздействия угроз наонсистема.Подходы к угрозе

процесс носит итеративный характер и включает в себя набор активов, функционалies, профили безопасности и

предпринятые действия.

Моделирование угроз представляет собой набор процедур, с помощью которых организация оптимизируем сеть мер безопасности путем определения целей и уязвимостей информационным активам, а затем выявления и реализации стратегии для предотвращения или смягчения воздействия угроз на информационные активы организации. Моделирование фокусируется на определении областей, которые требуют наибольшей эффективности для защиты системы информационных активов организации.

Модели угроз программных систем обычно не учитывают физический доступ или включают в себя строгие предположения о защите физической безопасности. Напротив, субъект угрозы может физически получить доступ к компонентам информационных активов и повредить компьютерную систему или ее устройства, используя различные аппаратные интерфейсы или доступ к сетевым каналам, поскольку вся система может быть расположена в разных местах без надлежащих мер физической защиты

Следовательно, помимо логических средств контроля, физические средства контроля являются важными факторами, определяющими определение границ доверия. В литературе подробно не показано, как определяются границы в свете допущений логической и физической безопасности информационных активов. Это особенно важно для проведения исследований по моделированию угроз в рамках общепринятых рамок и стандартов. Более того, взаимодействие между кибер- и физической сферами требует более тщательного рассмотрения, поскольку некоторые из кибератак могут иметь некоторые предпосылки, связанные с физической безопасностью.

Прежде чем внедрять меры физической безопасности в Университете, важно определить потенциальные риски и слабые места в текущей системе безопасности. Обнаружение имеет первостепенное значение для обеспечения физической безопасности. Хотя невозможно предотвратить все вторжения или нарушения физической безопасности, наличие правильных инструментов для обнаружения и устранения вторжений сводит к минимуму сбои в работе Университета в долгосрочной перспективе.

Реестр информационных активов представляет собой каталог информации, которую Университет хранит и обрабатывает. Он записывает, где хранятся информационные активы, как данные перемещаются в Университет и из него и кому они передаются, чтобы понять их ценность и обеспечить их надлежащую защиту.

Управление информацией использует Реестр информационных активов для проведения оценки рисков с точки зрения законодательства об информационной безопасности и защите данных, а также консультирует сотрудников о наилучшем подходе к обеспечению защиты информации в отношении ее конфиденциальности, целостности и доступности, а также для проверки того, что персональные данные обрабатываются на законных основаниях.Основные информационные активы Университета представлены в таблице 2.4.

Таблица 2.4—Информационные активы Университета

Наименование актива	Форма представления	Качественная оценка
База данных Университета	электронная	критическое значение
Записи, относящиеся к управлению электронной дверной системой с картами доступа, настроенными для обеспечения доступа в одну или несколько областей	электронная	критическое значение

Продолжение таблицы 2.4

Информация, касающаяся управления потенциальными и нынешними учащимися	электронная	высокая
Информация, касающаяся управления персоналом Университета	электронная	высокая
Должностные инструкции, стандарты, правила, законодательные акты	электронная	средняя
Бумажная корреспонденция	бумажная	высокая
Электронная корреспонденция	электронная	высокая
Записи обмена сообщениями и совместной работы персонала и студентов, относящиеся к управлению электронной почтой, календарями, мгновенными сообщениями	электронная	Очень высокая
Информация об управлении идентификацией для пользователей	электронная	критическое значение
Финансовая информация	электронная/ бумажная	критическое значение
Основные учебные ресурсы для Университета.	электронная	критическое значение
Информация о безопасности информационной системы	электронная	высокая
Библиотечные ресурсы	электронная	критическое значение
Академические исследования и научная деятельность Университета	электронная	критическое значение
Информация об интеллектуальной собственности	электронная	критическое значение
Портал университета	электронная	высокая
Информация об учебной деятельности студентов	электронная	критическое значение

Выделим основные категории активов для дальнейшего анализа их защиты (таблица 2.5).

Таблица 2.5—Информационные активы Университета

Номер актива	Наименование актива
1	База данных Университета
2	Информация о финансовой деятельности
3	Информация об учебной деятельности
4	Информация о доступе к информационным ресурсам и о безопасности данных на портале Университета
5	Корреспонденция Университета
6	Академические исследования, научная деятельность, интеллектуальная собственность Университета

Определяющим признаком угрозы является ее направленность, результат, который может привести к дестабилизирующему воздействию (ДВ) на информацию — нарушению ее статуса.

Таким образом, угроза защищаемой информации представляет собой совокупность явлений, факторов и условий, создающих опасность нарушения статуса информации.

В таблице В.1 приложения В отражена взаимосвязь видов и способов ДВ на защищаемую информацию с источниками ДВ.

Согласно этой таблице определены угрозы для информационных активов, проведен их анализ для выработки политики безопасности.

Оценку проводили специалисты IT-отдела на основе бесед и анализа документации Университета: электронных и бумажных документов.

Рассмотрим модель угроз физической безопасности для Университета [25].

Угроза 1: Стихийные бедствия

Университет расположен в г. Севастополь на Южном берегу Крыма, подверженном стихийным бедствиям, таким как землетрясения и наводнения. В случае землетрясения г. Севастополь угрожают не столько наводнения или высокие волны, сколько активизация оползней и обвалов. Наибольшую опасность представляют «спящие» обвалы и оползни, поскольку они могут привести к еще большим разрушениям, чем само землетрясение.

В районе г. Севастополь есть крутые склоны, осыпные склоны, есть склоны, подверженные оползневым процессам. Большая часть Южного Берега покрыта стабилизированными оползнями, на которых построены здания, дороги, коммуникации и так далее. Эти оползни не двигаются — они зафиксированы. Но сейсмическое событие может быть оползневым, и оползневые процессы должны активизироваться. От них можно ожидать много негативных процессов в частности, потому, что они находится ближе всего к эпицентру возможных толчков.

Эти стихийные бедствия могут разрушить целые здания и нарушить работу на недели или даже месяцы.

Когда Университет уязвим из-за стихийного бедствия, угрозы безопасности со стороны людей, которые хотят воспользоваться ситуацией (мародерство, вандализм и т. д.), становятся более серьезной проблемой.

Угроза 2: Внутренняя кража

Внутреннее воровство — еще одна угроза безопасности для Университета.

Внутренние субъекты могут быть высококвалифицированными специалистами в области разработки и эксплуатации программного обеспечения и аппаратных средств, знать специфику задач, структуру и функции, принципы работы программного обеспечения и аппаратных средств защиты информации, иметь возможность использовать стандартное и сетевое оборудование.

Квалификация антропогенных источников информации играет роль для оценки их давления и учитывается при определении ранга источников угроз.

Будь то кража денег, инвентаря или информации об Университете, сотрудники могут нанести большой ущерб, если они не будут должным образом контролироваться.

Сотрудники, имеющие доступ к конфиденциальной информации Университета, могут продать ее конкурентам или преступникам, что может поставить под угрозу всю работу Университета.

Опасным каналом утечки конфиденциальной информации является персонал. Конкуренты могут получать информацию в ходе беседы после выступлений и на специально организованных переговорах. При подготовке недоброжелатели могут рационально применять современные психотехнологии, эксплуатировать желание субъекта показать себя влиятельным, осведомлённым, компетентным, применять вредные привычки и скрытые потребности.

В первую очередь объектом давления становятся высококвалифицированные специалисты, так как именно они осведомлены в наибольшей степени.

Полезными для недобросовестных конкурентов может стать уволенный персонал, а также персонал, который получил приглашение, в том числе мнимое, на работу. Находящиеся в штате сотрудники не всегда могут следовать интересам Университета.

Традиционной проблемой, которая связана с IT-сотрудниками является контроль и оценка итогов деятельности. К примеру, в IТ-подразделениях часто отсутствуют должностные инструкции и не проводятся аттестации. Иногда IТ-специалистов рассматривают как обслуживающий персонал, пытаются нагрузить дополнительной работой, не определённой должностной инструкцией. Это снижает выполнение прямых обязанностей, вызывает недовольство, негативно сказывается на лояльности, приводит к текучке кадров.

Угроза 3: Вандализм

Другой распространенной угрозой безопасности для бизнеса является вандализм.

Это также может нанести значительный финансовый ущерб предприятиям, а также ущерб имуществу и оборудованию. Кроме того, вандализм может создать чувство незащищенности у сотрудников и клиентов. Вандалы часто нападают на предприятия, чтобы послать сообщение, нанести ущерб имуществу назло или получить доступ к ценностям внутри предприятия.

Наиболее уязвимыми областями предприятий для вандализма обычно являются окна, двери, камеры видеонаблюдения и наружные вывески.

Угроза 4: Кража и взлом

Воровство по-прежнему остается одной из самых больших угроз безопасности.

Кража со взломом может привести к значительным финансовым потерям, а также к повреждению имущества и оборудования. Воры всегда будут использовать возможности для кражи, поэтому важно принимать меры для сдерживания грабителей.

В кабинетах Университета, скорее всего, бумаги и документы лежат во многих местах, от столов до принтеров. Конфиденциальные документы могут легко пропасть без вести и попасть не в те руки. Даже если их не заберут из кабинета, посетитель может увидеть информацию, которая для него не предназначена.

Угроза 5: Неучтенные посетители

В Университете обычно неизвестно, кто находится или находился на рабочем месте в определенное время, невозможно поддерживать высокий уровень физической безопасности. Неучтенные посетители Университета представляют серьезную опасность, так как нельзя узнать, присутствовали ли они, если произойдет инцидент.

Также большинство рабочих мест Университета защищены каким-либо типом контроля доступа, будь то запертая дверь или точка доступа с картой считывания. Эти меры физической безопасности могут легко преодолеваться решительным злоумышленником.

Когда неуполномоченное лицо следует за уполномоченным лицом в безопасную зону, в Университете это происходит естественным образом, когда несколько человек проходят через двери, и только передний должен предъявить удостоверение личности или карту считывания. Люди, идущие сзади, просто пройдут мимо, что позволит любому неавторизованному лицу войти без каких-либо затруднений.

Угроза 6: Украденное удостоверение личности

При входе в Университет система контроля доступа работает только в том случае, если каждый использует свою собственную идентификацию. В настоящее время люди, которые входят и выходят из Университета, могут использовать чужую идентификацию, поэтому можно сказать, что в университете вообще нет контроля доступа.

Угроза 7: Социальная инженерия

Атаки социальной инженерии могут принимать самые разные формы. Это одна из причин, почему с ним так трудно бороться. Атаки социальной инженерии основаны на манипулировании сотрудниками, часто используя информацию, которую им удалось получить, чтобы выдать себя за кого-то другого, или злоупотребляя элементарным человеческим сочувствием, чтобы получить доступ к безопасным областям и сетям.

Например, одной из самых распространенных атак социальной инженерии является «кофейный трюк». Этот метод, по сути, представляет собой более изощренную версию «заднего хода»: в нем человек, держащий в каждой руке чашку кофе, идет к двери офиса. Ничего не подозревающий сотрудник, проходящий через дверь или находящийся поблизости, из вежливости придержит дверь открытой, тем самым пропустив в помещение постороннего человека.

Некоторые из факторов, которые приводят к внутренним уязвимостям и сбоям физической безопасности, включают:

- Сотрудники делятся своими учетными данными с другими.

- Случайное раскрытие или обмен конфиденциальными данными и информацией.

- Отслеживание инцидентов с неуполномоченными лицами.

- Легко взламываемые процессы аутентификации.

- Медленная и ограниченная реакция на инциденты безопасности.

Угроза 8. Технократическая деятельность

Источником уязвимостей могут являться сбои в аппаратном обеспечении, к примеру, выход из строя жестких дисков.

Программное обеспечение может иметь уязвимость — нестабильная работа.

Локальная сеть Университета может иметь уязвимости: нерегулируемое применение прав пользователей, которое может привести к нерегулируемому доступу к действиям над информацией — модификации, удалению, копированию, просмотру.

Документооборот может иметь уязвимости, такие, как потеря данных и их порча.

Часто к возникновению ущерба приводят злонамеренные или ошибочные действия общества, а техногенные источники могут выступать в качестве предпосылки [23].

Несмотря на то, что для защиты Университета необходимы соответствующие физические меры, в конце концов, безопасность обеспечат не барьеры безопасности или двери.

Повышение осведомленности о физической безопасности среди сотрудников и поощрение их к активной защите своего рабочего места — наиболее эффективный способ борьбы со всем спектром угроз физической безопасности.

ВЫВОДЫ РАЗДЕЛА 2

Во втором разделе представлено описание Университета, как объекта информатизации, результаты анализа предметной области.

Выполнен анализ уязвимости объекта информатизации и описание существующих технологий физической защиты информации в Университете.

Представлена модель нарушителя, определен потенциал нарушителей и их возможности.

Представлена модель угроз и изложена используемая стратегия угроз информационным ресурсам Университета.

3 РАЗРАБОТКА СИСТЕМЫ ФИЗИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ

3.1 Комплекс средств и сил физической защиты информации. Организационные мероприятия и локальные нормативные акты

Ввод в эксплуатацию систем защиты информации означает меры, принятые для защиты информации, представленной техническим проектом. К работам по монтажу оборудования обработки информации, технических средств, а также проведение технических мер по защите информации должны допускаться организации, имеющие лицензию ФСТЭК Российской Федерации.

Установщиком или заказчиком проводится закупка сертифицированного изделия технического средства обработки информации (ТСОИ) и проводится специальная проверка не сертифицированных ТСОИ для выявления возможных внедренных электронных подслушивающих устройств («закладок») [27].

По результатам исследований ТСОИ указываются меры по защите информации. При необходимости вносятся изменения в технический проект, который должен быть согласован с установщиком и заказчиком.

Покупка сертифицированных устройств, программное обеспечение и технические средства информации, а также их установка проводится в соответствии с техническим заданием.

Обслуживание (профессиональное) представляет собой организованный контроль безопасности всех мер по защите информации, предоставленный техническим заданием.

Во время установки и сборки ТСОИ и инструментов информационной безопасности особое внимание должно быть уделено обеспечению защиты режима охраняемого объекта.

Для некоторых видов деятельности по организации контроля в этот период включают в себя следующее:

- Перед установкой убедитесь, что все смонтированные конструкции скрыты от обзора, в частности, установленное оборудование, наличие различных видов меток и их отличие друг от друга, а также встраиваемые устройства;

- Нужно организовывать периодические инспекции зон, выделенных место установки вечером или в нерабочее время в целях выявления подозрительных участков;

- Организовать мониторинг хода исполнения всех видов установочных работ в помещении и в здании. Основная функция контроля состоит в подтверждении правильности технологии монтажных работ и их соответствие техническому заданию;

- Организовать осмотр мест и объектов, конструкций, которые по технологии должны быть закрыты других структур. Такой контроль может быть юридически организован под предписание необходимости проверки качества монтажа и материалов, или тайно;

- Нужно внимательно проверить соответствие монтажных схем и число установленных проводов технического проекта. Особое внимание следует обратить на входной каскад проводной связи и кабелей в области выделенной памяти. Все заложенные до резервного копирования провода и кабели необходимы, чтобы наложить их на план-схему с указанием местоположения в начале и в конце.

Перед установкой в выделенном помещении средства информатизации, мебель и предметы интерьера, технические устройства и офисное оборудование должны быть проверены на отсутствие подслушивающих устройств. В то же время желательно проверить технические средства на сопутствующее электромагнитное излучение. Эту проверку преимущественно проводят в специально оборудованном помещении или на месте с помощью специального оборудования.

После установки и монтажа технической защиты информации необходимо провести опытную эксплуатацию в сочетании с другими средствами аппаратного и программного обеспечения с целью проверки их работы при обработке (передаче) информации.

По результатам опытной эксплуатации проводятся приемо-сдаточные испытания решений в области проектирования информационной безопасности и составляется соответствующий акт.

После завершения ввода в эксплуатацию системы безопасности, проводится аттестация объектов информатизации и выделенных помещений для требований безопасности. Это процедура официального подтверждения сложных мер по повышению эффективности осуществляемых на объекте средств защиты информации.

При необходимости по решению руководителя организации, имеющие соответствующую лицензию ФСБ России, могут осуществлять поиск электронных устройств подслушивания, возможно, встроенных в выделенном пространстве.

Необходимо также проводить периодически специальные инспекции и тестирование специализированных технических средств и информационных технологий.

При устройстве систем информационной безопасности имеет большое значение разработка концепции управления информационной безопасностью. Потому что от контроля и эффективного управления зависит эффективное функционирование сложившейся системы защиты информации.

С точки зрения сотрудничества, каждый производитель выполняет только часть работы, поэтому для достижения результата общими усилиями требуется связь и координация деятельности всех членов совместного рабочего процесса. Управление устанавливает согласованность между индивидуальными работами и выполняет основные функции, связанные с работой всей организации. Таким образом, управление устанавливает общую связь и единство действий всех членов совместного производственного процесса для достижения общих целей организации. Это суть управления технологическими процессами [28].

Анализируя рынок защиты данных, были выбраны наиболее подходящие и приемлемые средства физической защиты информации для определенных каналов утечки на объекте информатизации. Выбраны места размещения защиты информации и данных и использованы различные методы, применяемые для защиты.

Как показывает практика, создание системы информационной безопасности является частью производственного процесса, и еще нужно хорошее управление, чтобы достичь эффективности.

Ответственным за разработку и осуществление политики управления информационной безопасностью является начальник службы безопасности Университета, который несет ответственность за ее реализацию и рассмотрение в соответствии с установленными процедурами. Указанная процедура обеспечивает реализацию политики управления информационной безопасностью в соответствии с изменениями, которые влияют на основу первоначальной оценки риска, появление новых уязвимостей или изменений в организационной или технологической инфраструктуре. Периодические обзоры следует проводить ежегодно, и они включают в себя:

- проверки эффективности политики, основанной на характере, количестве и последствиях сообщений об инцидентах нарушения безопасности;

- определение стоимости мероприятий по управлению и защите информации;

- оценке воздействия изменений в технологии.

Руководители структурных подразделений объекта информатизации несут ответственность за определение защиты ресурсов и осуществление мероприятий по управлению информационной безопасностью в организации. В каждый блок назначается ответственное лицо (администратор) для каждого информационного актива, в чьи ежедневные обязанности входит обеспечение безопасности актива.

Необходимо определить владельцев всех основных средств и определить их ответственность за поддержание надлежащих мер для управления информационной безопасностью. Каждый актив должны быть четко определен и классифицирован с точки зрения безопасности, владельцы должны быть авторизованы и данные о них задокументированы. Кроме того, следует отметить фактическое расположение актива.

Система доступа представляет собой набор правил и норм, определяющих, какие приоритеты у пользователей и на какие категории документов можно дать разрешение на введение [29].

Сотрудники компании получают доступ к конфиденциальной информации на добровольной основе. Эти отношения устанавливаются при принятии гражданина на работу или в процессе трудовой деятельности. Необходимо выполнить следующие условия:

- ознакомить работника под роспись с перечнем конфиденциальной информации;

- ознакомить работника под роспись с режимом, установленным в организации для защиты информации и мер ответственности за его нарушение;

- создать необходимые условия для соблюдения сотрудниками установленного режима для защиты конфиденциальной информации.

В целях обеспечения уверенности в осведомленности пользователей о вопросах, связанных с информационной безопасностью, они должны быть осведомлены обо всех мерах безопасности в связи с выполнением служебных обязанностей, пользователи должны быть обучены процедурам безопасности и правильному использованию средств обработки информации, чтобы минимизировать возможные риски для безопасности.

Все сотрудники должны быть осведомлены о процедурах в случае различных видов нарушения безопасности (нарушение безопасности, угроза, уязвимости, или отказ), которые могут негативно повлиять на безопасность активов организации. Сотрудники должны немедленно сообщать о любых наблюдаемых или предполагаемых характерных инцидентах их непосредственному руководителю или администратору службы безопасности.

Ответственным за организацию подготовки и оказание технической помощи в организации физической защиты информации на объекте информатизации является администратор службы безопасности.

3.2 Комплекс средств контроля доступа для физической защиты информации объекта информатизации

Для физической защиты информации объекта информатизации необходимо установить систему контроля доступа. Выберем систему контроля доступа к дверям на основе RFID и пароля. Радиочастотная идентификация (RFID) — это технология, использующая радиочастотные электромагнитные поля для передачи информации от метки к считывателю RFID в целях идентификации. Метки не требуют питания от батареи. Они получают энергию от электромагнитного поля, создаваемого считывателем. Также доступны некоторые теги, которые имеют собственный источник питания [30].

В системе безопасного доступа RFID находится в индуктивной связи со считывателем. Когда карта подносится к считывателю, модулированные данные с карты отправляются на считыватель, который, в свою очередь, подается на микроконтроллер. Используемая карта является удостоверением личности конкретного лица и содержит его данные. Если эти данные совпадают с данными, хранящимися в базе данных микроконтроллера, человеку предоставляется доступ в охраняемую зону. Об этом свидетельствует включение лампы. Статус полномочий человека также отображается на ЖК-дисплее, сопряженном с микроконтроллером.

Рассмотрим базовую установку системы контроля доступа к дверям на основе RFID и пароля. Системы контроля доступа позволяют входить или выходить из помещения только уполномоченным лицам.

Система контроля доступа может включать в себя замки, турникеты, биометрические считыватели, считыватели распознавания лиц, считыватели RFID, шлагбаумы и т. д.

Материалы, необходимые для этой системы контроля доступа, включают:

- Магнитный замок с монтажной скобой (замок отказоустойчивого типа).

- Адаптер питания постоянного тока или импульсный источник питания (SMPS) (12 В, 3 А).

- Считыватель контроля доступа.

- Кнопка выхода.

- Соединительные провода (Cat 6 или медные провода, по мере необходимости).

Считыватель RFID — это беспроводное устройство, используемое для передачи данных для распознавания и отслеживания тегов, подключенных к объектам. Тег включает информацию, хранящуюся в электронном виде. Считыватель RFID включает в себя RF-модуль и действует как TX и RX для радиочастотных сигналов. Передатчик этого модуля содержит генератор несущей частоты. Приемник этого модуля включает в себя демодулятор для извлечения восстановленной информации, а также содержит усилитель для поддержки сигнала для обработки. Микропроцессор используется для формирования блока управления, который использует ОС и память этого модуля фильтра и хранит информацию.

Блок-схема системы контроля доступа представлена ??на рис. 1. Она построена вокруг магнитного замка с монтажными скобами, 12В SMPS /адаптера для питания, устройства контроля доступа, кнопки выхода, RFID-меток, кабелей.

Рисунок 3.1 Схема подключения системы контроля доступа

Она включает в себя 3- и 6-контактные разъемы, а также 3- и 6-проводные кабели для подключения устройства контроля доступа.

Реле (см. рис. 3.1) имеет три контакта: NO, NC и COM, которые обычно называют нормально разомкнутыми, нормально замкнутыми и общим выводом соответственно.

COM обычно остается подключенным к клемме NC. Когда реле активировано, клемма COM соединяется с клеммой NO, отделяясь от клеммы NC.

Большинство считывателей, кнопок и замков контроля доступа имеют встроенную релейную цепь для необходимых подключений.

Устройство контроля доступа и магнитный замок являются основными компонентами, необходимыми для установки. Автономное устройство контроля доступа (номер модели SA32-E), используемое в этом проекте, показано на рисунке 3.2.

Рисунок 3.2 — Устройство контроля доступа на основе RFID

Это бесконтактный считыватель смарт-карт RFID и устройство проверки пароля. Он поддерживает три режима проверки (только RFID-карта, только PIN-код и карта и PIN-код) для обеспечения максимальной безопасности и гибкости.

С одним релейным выходом (дополнительно) и кнопочным (низким) выходом, одним портом дверной кнопки и одним портом дверного звонка устройство просто, но эффективно для использования в офисах и других общественных помещениях.

Существует два основных типа магнитных запорных устройств: отказоустойчивые и отказоустойчивые.

Запорное устройство Fail-secure блокируется при отключении питания.

Отказоустойчивые запорные устройства блокируются при включении питания и разблокируются при отключении питания. В этом проекте используется отказоустойчивое запирающее устройство.

Запирающее устройство должно быть сконфигурировано таким образом, чтобы, если человек использует RFID-метку (или биометрию) для открытия двери, замок должен открыться, а затем автоматически закрыться через несколько секунд, чтобы избежать запирания двери.

Схема спроектирована таким образом, что шина GND от источника питания/адаптера подключается через клеммы NC и COM считывателя и кнопку выхода. От адаптера или SMPS +12V DC подключается непосредственно к электромагнитному замку, как показано на блок-схеме (рис. 3.1).

Большинство магнитных замков и считывателей контроля доступа предварительно оснащены таймерами задержки времени запирания и отпирания. Как правило, на печатной плате находятся предустановки, которые можно настроить для блокировки или разблокировки временных задержек.

Система контроля доступа к дверям работает следующим образом.

Когда предварительно зарегистрированный пользователь или авторизованное лицо пытается открыть дверь с помощью RFID-метки (карты), пароля или биометрических данных, активируется схема реле, и COM-терминал на некоторое время отключается от NC-терминала. То есть клемма COM подключается к клемме NO.

Следовательно, питание 12 В постоянного тока отключается от магнитного замка на несколько секунд (в зависимости от установленной временной задержки). Таким образом, магнитный замок разблокируется при отключении питания. Это действие позволяет открыть дверь.

Опять же, когда пользователь нажимает кнопку выхода, реле активируется и вынуждено соединить COM с клеммой NO. От магнитного замка отключается питание и он разблокируется, а дверь снова открывается.

Как правило, устройство контроля доступа должно быть установлено возле двери снаружи помещения, а кнопка выхода должна быть установлена ??возле двери, но внутри помещения. Электромагнитный замок, установленный на стеклянной двери, показан на рисунке 3.3.

Рисунок 3.3 — Установка электромагнитного замка на стеклянную дверь

Некоторые кнопки выхода будут иметь встроенную схему реле, которая должна иметь внешний источник питания. В этом случае предпочтительнее использовать источник питания 12 В, 3 А.

Каждая карта/метка RFID имеет уникальный номер. Когда метка проходит через считыватель RFID, система контроля доступа предлагает вам ввести пароль. Имеется возможность изменения пароля.

Установку системы контроля доступа необходимо поручить специалистам.

3.3 Комплекс средств наблюдения для физической защиты информации объекта информатизации

Система видеонаблюдения, установленная в Университете, поможет обеспечить безопасность студентов и сотрудников и сохранность имущества.

Стандартная возможность любой системы видеонаблюдения — отображение видео в реальном времени и запись его в архив. Просмотр в режиме реального времени позволяет организовать круглосуточное «здесь и сейчас» визуальное наблюдение за помещением, а функция записи позволяет пользователям просматривать и расследовать уже произошедшие события [31].

Основные правила перед установкой системы наблюдения, следующие:

Выбранный тип системы наблюдения и место, в котором она работает, должны соответствовать конкретным целям, для которых она используется.

Информация, которую обрабатывает система наблюдения, должна быть хорошего качества, адекватной, актуальной и ограниченной тем, что необходимо. Необходимо определить минимальный объем персональных данных, необходимых для выполнения целей видеонаблюдения.

Законодательство РФ в области защиты информации не предписывают никаких конкретных минимальных или максимальных сроков хранения, которые применяются к системам наблюдения или информации, которую можно обрабатывать. Скорее, цель обработки должна определять необходимый период хранения.

Необходимо надежно хранить записанную информацию таким образом, чтобы поддерживать ее конфиденциальность, целостность и доступность. Это делается для того, чтобы защищать права лиц, которые записываются системами наблюдения, и эффективно использовать информацию по назначению.

Разработчики программных решений предлагают десятки различных модулей видеоанализа. Рассмотрим несколько интеллектуальных модулей, которые могут быть наиболее полезны в учебных заведениях и точно оправдают вложенные средства.

Таблица 3.1 — Интеллектуальные модули системы видеонаблюдения

Модуль видеоанализа	Цель	Принцип работы
Обнаружение дыма и огня	Во избежание жертв, потери имущества и бедствий, вызванных пожарами. Немедленно приступайте к тушению пожара. Выясните причины пожара или дыма.	Определяет наличие огня или дыма в кадре, немедленно отправляет уведомление оператору системы: выводит тревогу на монитор, отправляет SMS или сообщение по электронной почте. Модуль может быть интегрирован с системами пожарной сигнализации и пожаротушения, что позволит автоматически объявлять об эвакуации студентов и сотрудников и начинать тушение пожаров.
Обнаружение заброшенных предметов	Для предотвращения терактов. Минимизировать угрозы жизни и здоровью обучающихся и сотрудников.	Информирует оператора видеонаблюдения о наличии в кадре брошенного стационарного объекта. По записям можно узнать, кто покинул объект, уточнить все детали и обстоятельства. Можно установить области для наблюдения и ограничить размер объектов.
Отслеживание	Предотвратить доступ посторонних лиц в помещения с дорогостоящим оборудованием во внеучебное время и предотвратить хищение имущества.	Модуль слежения предупреждает оператора, когда кто-то входит в охраняемую зону.

Продолжение таблицы 3.1

Модуль видеоанализа	Цель	Принцип работы
Интерактивный поиск и кросс-камерное отслеживание	Реконструируйте аварию, найдите виновных, расследуйте хулиганство, кражу или драку.	Интерактивный поиск позволяет находить лиц, попавших в поле зрения камеры в течение заданного промежутка времени, по их отличительным признакам (цвету одежды). Этот инструмент значительно сокращает время, необходимое для поиска разыскиваемого человека в записанном системой видеоархиве. Кросс-камерное слежение позволяет построить траекторию движения человека по охраняемой территории, что значительно облегчает и ускоряет процесс реконструкции событий и способствует выявлению правонарушений.
Обнаружение громкого звука	Обеспечить оперативное реагирование на внештатные ситуации: крики, звук разбитого окна, хлопки, выстрелы, скрип тормозов автомобиля.	Модуль позволяет установить уровень звука, при котором будет отправлено уведомление оператору. Применимость модуля обоснована тем, что воспроизводить звук со всех камер при передаче видео на мониторы наблюдения нецелесообразно. При этом отсутствие контроля звука может привести к пропуску оператором важной для обеспечения безопасности информации.
Мониторинг толпы	Для предотвращения массовых беспорядков и общественных беспорядков.	Модуль позволяет установить пороговое количество людей, при превышении которого система будет привлекать внимание оператора, формируя сигнал тревоги и отправляя уведомление на его мобильный телефон. Осмотрев и оценив ситуацию, оператор сможет согласовать дальнейшие действия и при необходимости принять меры по предотвращению беспорядков.

Окончание таблицы 3.1

Модуль видеоанализа

Цель

Принцип работы

Модуль распознавания лиц

Организовать мониторинг людей, входящих в помещения образовательного учреждения.

Модуль находит все лица в поле зрения камеры и сохраняет их в базу данных системы, точно указывая время присутствия. Если в кадре будет распознан посторонний человек, оператор немедленно получит уведомление.

Дополнительно система видеонаблюдения может быть интегрирована с системой контроля доступа, что позволит настроить автоматическое открывание дверей и предоставление доступа в помещение лицам, имеющим соответствующие полномочия.

Модуль распознавания автомобильных номеров

Организовать полностью контролируемые, в т.ч. автоматический въезд автотранспорта на территорию учебного заведения.

Модуль позволяет формировать отчеты с количеством въезжающих и выезжающих автомобилей с указанием времени. Дополнительно возможно создание базы данных с номерами, моделями и данными владельцев транспортных средств, что позволит оператору оперативно идентифицировать поступающие автомобили.

Если система оборудована шлагбаумом, можно организовать автоматический въезд авторизованных автомобилей на охраняемую территорию.

Применение модулей видеоанализа в системе видеонаблюдения делает ее действительно «умной» и полезной. Избавляя оператора от рутинного созерцания мониторов безопасности, программное обеспечение с интеллектуальными модулями позволяет ему сосредоточиться на чем-то действительно важном, что может потребовать вмешательства человека.

Разработчики программного решения для видеонаблюдения предоставляют своим пользователям полезный инструмент — удаленный доступ к системе с мобильных устройств. Это мобильное приложение для iOS, Android или Windows Phone, позволяющее в режиме реального времени просматривать видеопоток с камер системы или записи из архива на экране планшетного ПК или смартфона. Этот инструмент будет полезен сотрудникам службы безопасности и руководителям образовательных учреждений, а также родителям студентов, которые хотят быть уверены, что с их близкими все в порядке. Гибкие настройки позволят настроить права доступа и разрешения на просмотр по мере необходимости, чтобы родители видели именно то, что им нужно.

Программное обеспечение Macroscop может помочь дополнить систему наблюдения вышеупомянутыми интеллектуальными модулями и функциями удаленного доступа. Его разработчики внедрили множество традиционных алгоритмов машинного зрения, а также технологию нейронных сетей, создав эффективный, быстрый и точный программный инструмент для видеонаблюдения.

Эффективная работа системы видеонаблюдения зависит не только от ее широкой функциональности, но и от удобства и простоты использования. Во многих случаях операторы системы видеонаблюдения не являются высококвалифицированными ИТ-инженерами. Это сотрудники службы безопасности, охранники, для которых глубокие знания компьютеров и сетей не являются профильной компетенцией. Но это те, кому нужно понимать, как работать с системой видеонаблюдения и модулями видеоанализа, и они требуют, чтобы система была удобной и простой в использовании.

Создателям ПО Macroscop удалось совместить богатый интеллектуальный функционал анализа и удобный интерфейс.

Для физической защиты информации на объекте информатизации используем систему видеонаблюдения, состоящую из IP-камер Evidence и программного обеспечения Macroscop с добавленными модулями интерактивного поиска и распознавания лиц.

В данном проекте рассматривается установка системы видеонаблюдения на 1 этаже корпус IV Университета СевГУ. Наряду с решением вопросов безопасности и охраны система также помогает в организации учебно-воспитательной работы: позволяет контролировать процесс проведения экзаменов и вступительных испытаний, а также защиты диссертаций.

Видеокамеры будут установлены на входах в учебный корпус, в аудиториях, коридорах и во дворе кампуса для наблюдения за происходящим и обеспечения безопасности сотрудников Университета, студентов и имущества. Модуль интерактивного поиска позволит сотрудникам службы безопасности расследовать споры, просматривая видеофрагменты, заархивированные системой. Модуль «Детекция лиц» будет использоваться для наблюдения за теми, кто входит в корпус, и для оперативного розыска сотрудников и студентов, а также для расследования сложных происшествий.

Рассмотрим типы камер для устанавливаемой системы наблюдения [32].

Apix — 12ZDome / D1 Профессиональная поворотная камера APIX SpeedDome имеет высокое разрешение, повышенную светочувствительность и качественное механическое исполнение, что в сочетании с широким спектром функциональных возможностей делают эти камеры незаменимыми при построении системы IP-видеонаблюдения. EvidenceApix — 12ZDome / D1 — стандартная модель для помещений, обладающая 12-ти кратным цифровым увеличением.

Apix — 18ZDome / M2 обладает высокой светочувствительностью 0,02лк, имеет механический ИК-фильтр и может использоваться для ведения съемки в условиях недостаточной освещенности. Поворотный механизм камеры заимствован у предыдущих моделей PTZ камер eVidence, который за многие годы эксплуатации зарекомендовал себя как исключительно надежное устройство.

Apix — 18ZBox / M2 Форматы сжатия H.264, M-JPEG, MPEG-4. Функция «двойной поток». Двунаправленная передача аудио. Режим день/ночь (механический ИК — фильтр). Расширенный динамический диапазон (WDR). Цифровая система шумоподавления 3D DNR. Детектор движения. Функция «антисаботаж»

Apix — Bullet / M2 Lite LED 40 новая мегапиксельная IP-видеокамера с ИК-подсветкой, предназначенная для использования на улице. Качество изображения, которое обеспечивает EVidenceApix-Bullet / M2 Lite LED 40, отвечает требованиям, предъявляемым к современным системам видеонаблюдения.

Серверная платформа SIGMA — это лучший образец производительности, надежности и отказоустойчивости современной системы охранного видеонаблюдения. Стабильная работа серверов обеспечивается целым рядом оригинальных технических решений, а также резервированием всех критически важных узлов системы.

Особенности:

- Профессиональная серверная архитектура для построения систем наблюдения любого масштаба.

- Модели для записи от 8 до 128 IP-камер.

- Резервирование всех критически важных компонентов и узлов системы.

- Интеллектуальная система самодиагностики.

- Надежная дисковая система под управлением высокоскоростного RAID-контроллера.

- Управляющее ПО в комплекте.

- Расширенные возможности локального и удаленного администрирования системы.

ПО Macroscop— профессиональное программное обеспечение для современных систем видеонаблюдения. Оно позволяет обеспечить надежную защиту объектов и предоставляет широкие возможности использования видеоаналитики для автоматизации различных процессов и оптимизации затрат.

Настройка ПО Macroscop Video Management Software занимает 10-15 минут. Процесс прост, навигация в программе удобна для пользователя, что позволяет любому оператору быстро приступить к работе с продуктом.

Macroscop Video Management Software просто в использовании, интерфейс удобен как в клиентской части, так и в настройках. Можно использовать встроенные отчеты, получать немедленные уведомления об отслеживаемых событиях на свой телефон, электронную почту или дисплей.

ПО MacroscopVMS доступно на всех платформах (рисунок 3.4).

Рисунок 3.4 — Адаптивный интерфейс ПО MacroscopVMS

Для начала работы с Macroscop необходимо приобрести и установить программное обеспечение для управления системой видеонаблюдения.

3.4 Оценка защищенности объекта информатизации с учетом разработанных предложений

Оценка защищенности — это анализ реализованных мероприятий по защите информации, который позволит определить степень соответствия требованиям основных нормативных правовых актов, а также оценить фактический уровень защищенности организации от возможных угроз.

Часто простое внедрение средств защиты информации не гарантирует их постоянную эффективность, а все возрастающие требования к уровню защиты информации делают оценку защищенности реальной необходимостью для каждой организации, независимо от направления.

Оценка защищенности проводится дистанционно, но при необходимости может быть предоставлена и на объектах информатизации заказчика.

В рамках оценки необходимо провести аудит текущего уровня безопасности с учетом разработанных предложений на основе объективных данных.

Таблица 3.2 — Анализ сферы физического доступа, наблюдения и контроля помещений на объекте Заказчика «Первый этаж корпуса IV СЕВГУ»

Объект изучения

Текущее состояние

Имеющаяся структура

Выполненные мероприятия по исправлению ситуации

Контроль физического доступа в помещения в рабочее и нерабочее время

Аппаратные контроллера электронных ключей, запрограммированы на открытие электронного входного замка каждой двери по карточке доступа, без логической составляющей, в любое время суток

Нет СКУД — отдельной интеллектуальной системы управления доступом, базированной на собственном сервере, к которой по сети IP подключены контроллеры доступа каждого отдельного помещения:

• Серверная

• Кабинеты руководителей

• Аудитории

Нет системы гибкого управления физическим доступом

Все внутренние отдельные помещения физически защищены обычными замками, ключи находятся в свободном доступе

• Закуплен отдельный сервер

• Закуплено ПО СКУД

• Закуплены и установлены контроллеры и электронные замки для каждого отдельного помещения

• Подключены контроллеры дверей к центральной системе СКУД

• Настроена система СКУД с учетом разрешенных уровней доступа групп сотрудников и времени суток

• Зафиксированы группы доступа в регламенте ИТ-безопасности

Продолжение таблицы 3.2

Объект изучения

Текущее состояние

Имеющаяся структура

Выполненные мероприятия по исправлению ситуации

Визуальный контроль перемещения сотрудников в помещении

У административного директора на локальной рабочей станции находится ПО AxisCamera Station со следующим функционалом:

• Запись событий камер, для этого отведено 40Гб на данной рабочей станции

• Ручной просмотр визуального изображения с камер

У секретаря настроены ярлыки на прямой web- доступ к камерам, по их количеству. Данный функционал позволяет секретарю просматривать визуальное изображение

Нет выделенного сервера со специальным серверным ПО видеонаблюдения, имеющий функционал:

• Наблюдения в режиме онлайн

• Хранения и ротации записей с периодом месяц, частотой — ежедневно

• Отправки оповещений при нарушении периметра либо другом заданном событии

Использование рабочей станции в качестве видеосервера грозит потерей видеоархива

Нет постоянного защищенного видеосервера, видеоархив легкодоступен для злоумышленника

Закуплены и установлены IP камеры Evidence — часть подключены по Wi-fi, часть — по физическому сетевому кабелю

• Закуплен отдельный сервер под систему видеонаблюдения и видеоархива

• Закуплены отдельные жесткие диски повышенного объема под видеоархив, при закуплен и установлен дисковый контроллер для дополнительных жестких дисков

• Закуплено и внедрено программное обеспечение Macroscop, настроено видеонаблюдение и видеоархив Настроен мониторинг работоспособности ПО видеонаблюдения

• Настроено оповещение системы видеонаблюдения при нарушении периметра

Окончание таблицы 3.2

Объект изучения

Текущее состояние

Имеющаяся структура

Выполненные мероприятия по исправлению ситуации

Система отчетности и оповещений о доступе и перемещении в помещениях

• Есть видеоархив с буфером хранения 40 Гб

• Есть система ручного биометрического учета о посещении корпуса у секретаря

• Есть детекторы движения.

Нет удобной системы статистики сервера СКУД с отчетностью

• Сотрудник

• Время и дата

• Действие (вошел\вышел)

• Помещение

Нет удобной панели просмотра и работы с видеоархивом

Нет системы автоматического учета рабочего времени на основе данных СКУД

Нет функции оповещения ответственного лица о нарушении периметра на основании данных СКУД и видеонаблюдения

• Внедрена СКУД

• Внедрено профессиональное оборудование видеонаблюдения

• Внедрена система отчетности и оповещений контроля доступа

3.5 Расчет экономической эффективности внедрения системы физической защиты информации

При нарушении целостности и защиты информации не только наносится моральный и материальный ущерб, но и обеспечение защиты информации связано с расходами. Следовательно, ожидаемая общая стоимость защиты может быть выражена как сумма затрат на защиту и убытков, возникающих в результате ее нарушения.

(3.1)

Очевидно, что оптимальным решением будет выделение средств на защиту информации, минимизирующее общую стоимость работ по защите информации, а экономическое обоснование мероприятий по защите информации можно определить по величине предотвращенного ущерба или по величине снижения риска для информационных активов.

Чтобы использовать такой подход к решению задачи, необходимо знать:

- ожидаемые потери в случае нарушения информационной безопасности;

- взаимосвязь между уровнем безопасности и средствами, затрачиваемыми на защиту информации.

Для определения уровня затрат , обеспечивающих требуемый уровень защиты информации, необходимо знать:

- полный перечень информационных угроз;

- потенциальная информационная опасность по каждой из угроз;

- объем затрат, необходимых для нейтрализации каждой из угроз.

Поскольку оптимальное решение вопроса о рациональном уровне затрат на защиту заключается в том, что этот уровень должен быть равен уровню ожидаемых потерь в случае нарушения безопасности, достаточно определить уровень потерь. Применим эмпирическую зависимость ожидаемых потерь (рисков) от i-й информационной угрозы:

(3.2)

где:

— коэффициент, характеризующий возможную частоту возникновения угрозы;

— коэффициент, характеризующий величину возможного ущерба при возникновении угрозы.

Значения коэффициентов и приведены в таблице 3.3

Таблица 3.3 — Значения коэффициентов и

Ожидаемая (возможная) частота появления угрозы	Предполагаемое значение
Почти никогда	0
1 раз в 1 000 лет	1
1 раз в 100 лет	2
1 раз в 10 лет	3
1 раз в год	4
1 раз в месяц (примерно, 10 раз в год)	5
1-2 раза в неделю (примерно 100 раз в год)	6
3 раза в день (1000 раз в год)	7
Значение возможного ущерба при проявлении угрозы, руб.	Предполагаемое значение
30	0
300	1
3 000	2
30 000	3
300 000	4
3 000 000	5
30 000 000	6
300 000 000	7

Предполагаем, что угрозы конфиденциальности, рациональности и доступности реализуются правонарушителем самостоятельно. То есть, если в результате действий правонарушителя была нарушена рациональность информации, предполагается, что ее содержание до сих пор ему неизвестно (конфиденциальность не нарушена) и авторизованные пользователи по-прежнему имеют доступ к информации, пусть и искаженной. Уровень надежности формируемой системы защиты информации принимаем неизменным.

Рассчитываем потери для критически важных информационных активов до внедрения/модернизации системы защиты информации в таблице 3.4.

Таблица 3.4 Потери критических информационных ресурсов до внедрения/обновления системы защиты информации

Актив	Угроза	Величина потерь (тыс.руб.)
Клиентская база данных	Кража сетевых данных путем доступа к ПК, сети и базе данных с использованием чужого пароля	300
Клиентская база данных	Копирование, редактирование и удаление информации	300
Персональные данные сотрудников	Кража данных в сети путем доступа к ПК, сети и базе данных с чужим паролем	300
Персональные данные сотрудников	Копирование, редактирование и удаление информации	300
Информация об установленном оборудовании	Кража данных в сети путем доступа к ПК, сети и базе данных с чужим паролем	300
Информация об установленном оборудовании	Копирование, редактирование и удаление информации	300
Суммарная величина потерь		1800

Таблица 3.5 — Содержание и объем единовременного ресурса, который выделяется на защиту информации

Организационные мероприятия
№ п\п	Выполняемые действия	Среднечасовая зарплата специалиста (руб.)	Трудоемкость операции (чел.час)	Стоимость, всего (тыс.руб.)
1	Установка программно-аппаратных систем защиты	100	200	20
2	Настройка программ защиты	100	40	4
3	Настройка сетевых экранов	100	70	7
Всего				31

Продолжение таблицы 3.5

Мероприятия инженерно-технической защиты
№ п/п	Номенклатура средств защиты информации	Стоимость, единицы (тыс.руб)	Кол-во (единиц)	Стоимость, всего (тыс.руб.)
1	Установка IP камер Evidence	10	36	360
2	Установка ПО Macroscop	30	1	30
3	Организация системы охранно-пропускного режима	50	1	50
Всего				440
Всего				471

Таблица 3.6 — Содержание и объем ресурса постоянно выделяемого на защиту информации

Организационные мероприятия
Выполняемые действия	Среднечасовая зарплата специалиста (руб.)	Трудоемкость операции (чел.час)	Стоимость, всего (тыс.руб.)
Работа комиссии по аттестации объектов	120	200	24
Разграничение допуска к информационным ресурсам	120	50	6
Уничтожение бумажных отходов	120	300	36
Обслуживание систем информатизации	120	500	60
Контроль журналов доступа	120	400	48
Всего			174
Мероприятия инженерно-технической защиты
Номенклатура ПиАСИБ, расходных материалов	Стоимость, единицы (тыс.руб)	Кол-во (ед.измерения)
Поддержание работоспособности программного обеспечения	300	3	900

Продолжение таблицы 3.6

Мероприятия инженерно-технической защиты
Номенклатура ПиАСИБ, расходных материалов	Стоимость, единицы (тыс.руб)	Кол-во (ед.измерения)	Стоимость, всего (тыс.руб.)
Работа охранно-пропускного режима	500	1	500
Обновление программно-аппаратного обеспечения	100	1	100
Всего			1500
Всего			1674

Вычислим суммарное значение ресурса выделяемого на защиту информации:

Объем среднегодовых потерь компании ( ) из-за инцидентов безопасности 1800 тыс. рублей.

Получены прогнозируемые данные о величине потерь для критических информационных ресурсов. Итоги экспертного опроса внесены в таблицу 3.5.

Таблица 3.7 Потери критических информационных ресурсов после внедрения/обновления системы защиты информации

Актив	Угроза	Величина потерь (тыс.руб.)
Клиентская база данных	Кража сетевых данных путем доступа к ПК, сети и базе данных с использованием чужого пароля	300
Клиентская база данных	Копирование, редактирование и удаление информации	300
Персональные данные сотрудников	Кража данных в сети путем доступа к ПК, сети и базе данных с чужим паролем	300
Персональные данные сотрудников	Копирование, редактирование и удаление информации	300

Продолжение таблицы 3.7

Актив	Угроза	Величина потерь (тыс.руб.)
Информация об установленном оборудовании	Кража данных в сети путем доступа к ПК, сети и базе данных с чужим паролем	300
Информация об установленном оборудовании	Копирование, редактирование и удаление информации	300
Суммарная величина потерь		1800

Прогнозируемый ежегодный объем потерь ( ) составит 180 тыс. рублей.

Оценим динамику величин потерь за период не менее 1 года (таблица 3.6).

Таблица 3.8 — Оценка динамики величин потерь

	1 кв.	2 кв.	3 кв.	1 год	1 кв.	2 кв.	3 кв.	2 год
До внедрения СЗИ	450	900	1350	1800	2250	2700	3150	3600
После внедрения СЗИ	45	90	135	180	225	270	315	360
Снижение потерь	405	810	1215	1620	2025	2430	2835	3240

Определим срок окупаемости системы ( ). Это результат аналитического метода, с применением формулы:

(3.3)

Графически это представлено на рисунке 3.5.

Рисунок 3.5 — Динамика потерь

Экономическая эффективность системы защиты информации достаточно высока. Практически во всех случаях защиты активов имеет приемлемый риск. Можно говорить об избыточной степени защиты информации в отношении активной информации об установленном оборудовании и угрозах кражи данных сети по пути доступа к ПК, сети и БД по чужим паролям. Реальная вероятность угрозы меньше.

ВЫВОДЫ РАЗДЕЛА 3

В разделе 3 выполнено описание комплекса средств и сил физической защиты информации. Представлены организационные мероприятия и локальные нормативные акты, соответствующие физической защите информации Университета.

В данном разделе представлены проектные решения в соответствии с выбранным направлением обеспечения физической защиты информации объекта информатизации.

Также в данном разделе содержится описание внедряемых программно-аппаратных средств системы физической защиты информации объекта информатизации.

Выполнена оценка экономической эффективности представленного решения.

ЗАКЛЮЧЕНИЕ

Среди основных документов РФ по физической защите информации «Положение о лицензировании деятельности по технической защите конфиденциальной информации».

Система физической безопасности информации основана на международном стандарте для информационной безопасности ISO 17799 («Правила и нормы при обеспечении безопасности информации»)

Корпус IV Университета СевГУ как объект информатизации представляет собой отдельно стоящее здание, имеющее защищенный контур.

Модель нарушителя представляет собой перечень злоумышленников, определен их потенциал и возможности.

Изложена используемая стратегия физических угроз информационным ресурсам Университета.

Представлены внедряемые программно-аппаратные средства системы физической защиты информации Университета.

Обоснована экономическая эффективность представленного решения.

Перечисленные в работе решения не исчерпывают список возможностей физической защиты информации Университета, поэтому в дальнейшем можно продолжить работу над совершенствованием предложенных решений.

Все задачи, поставленные в работе, выполнены, цель исследования достигнута.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Введение в защиту информации в автоматизированных системах. / А. Малюк — М.: Горячая линия — Телеком, 2011. — 146 стр.

2. Гафнер В.В. Информационная безопасность: учеб. пособие. — Ростов на Дону: Феникс, 2010. — 324 с.

3. Малюк А.А. Теория защиты информации. — М.:Горячая линия — Телеком, 2012. — 184 с.

4. Нестеров С. Информационная безопасность. Учебник и практикум — М.: Юрайт, 2017. — 188 с.

5. Петренко С. А., Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. — М.: Компания АйТи; ДМК Пресс, 2007. — 680 с.

6. Скабцов Н. Аудит безопасности информационных систем — СП-б.:Питер, 2018. — 256 с.

7. Гатчин Ю.А., Климова Е.В. Введение в комплексную защиту объектов информатизации: учебное пособие. — СПб: НИУ ИТМО, 2011. — 112 с.

8. Баранова Е.К. / Методики анализа и оценки рисков информационной безопасности / Вестник Московского университета им. С.Ю. Витте. Серия 3: Образовательные ресурсы и технологии № 1(9), 2015. — 73-79 с.

9. Бирюков А. Информационная безопасность. Защита и нападение. — М.: ДМК Пресс, 2017. — 311 с.

10. Борисов М. А., Заводцев И. В., Чижов И. В. Основы программно-аппаратной защиты информации. — М.: Книжный дом «ЛИБРОКОМ», 2013. — 376 с.

11. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях — М.: ДМК Пресс, 2012. — 592 с.

12. Малюк А. Введение в защиту информации в автоматизированных системах — М.: Горячая линия — Телеком, 2011. — 146 стр.

13. Кузнецова, Л. В. Методы и средства защиты информации : курс лекций : учеб. пособие / Л. В. Кузнецова, Д. Г. Леонов. — М. : МАКС Пресс, 2010. — 175 с

14. Современные подходы к защите информации, методы, средства и инструменты защиты / Домбровская Л.A., Яковлева Н.А., Стахно Р.Е. // Наука, техника и образование, 2016. № 7. С. 16-19.

15. Конституция Российской Федерации [Электронный ресурс]. — URL: https://docs.cntd.ru/document/9004937 (дата обращения: 18.03.2023)

16. Доктрина информационной безопасности Российской Федерации [Электронный ресурс]. — URL: #"_Toc134358068">СПИСОК СОКРАЩЕНИЙ

СОКРАЩЕНИЕ	РАСШИФРОВКА
IoT	Internet of Things —Интернетвещей
ISO	International Organization forStandardization
PSaaS	Physical security as a service
АИС	Автоматизированная информационная система
ДВ	Дестабилизирующее воздействие
ИБ	Информационная безопасность
ИТ	Информационные технологии
КС	Компьютерная система
МОС	Международная организация по стандартизации
МЭК	Международная электротехническая комиссия
ПО	Программное Обеспечение
СЗИ	Средства защиты информации
СКЗИ	Средства комплексной защиты информации
СМИ	Средства массовой информации

ПРИЛОЖЕНИЕ А
Планы этажей корпуса IV Университета СевГУ

Рисунок А.1 — План первого этажа

ПРИЛОЖЕНИЕ Б
Звукоизоляция конструкций

Таблица Б.1 —Звукоизоляция строительных конструкций

Элементы конструкций	Примечание	Звукоизоляция (дБ) на частотах, Гц
Элементы конструкций	Примечание	250	500	1000	2000	4000
Кирпичная кладка	0,5 кирпича 1,0 кирпич 1,5 кирпича 2,0 кирпича 2,5 кирпича	40 44 48 52 55	42 51 55 59 60	48 58 61 65 67	54 64 65 70 70	60 65 65 70 70
Стена (0,5 кирпича, гипсолитовые плиты толщиной 8 мм, обои)	без отверстий	38	49	57	59	52
	с незаделанными отверстиями для воздухопровода	36	46	52	53	50
	с незаделанными отверстиями под электропроводку	35	44	51	62	48
Железобетонная плита	100 мм 160 мм 200 мм 300 мм 400 мм	40 47 44 50 55	44 51 51 58 61	50 60 59 65 67	55 63 65 69 70	60 - 65 69 70
Межэтажное перекрытие из бетонных плит	незаделанные щели между плитами, сколот угол одной из плит	43	40	39	57	40

Таблица Б.2 —Звукоизоляция оконных рам

Конструкция	Примечание	Среднегеометрическая частота октавной полосы, Гц
Конструкция	Примечание	250	500	1000	2000	4000
Оконный блок с двойным переплетом, толщина стекла 3 мм, воздушный зазор 170 мм	без прокладок	26	28	30	28	27
	с прокладками из пористой резины	33	36	38	38	38
Оконный блок с двойным переплетом и толщина стекла 4 мм	воздушный зазор 100 мм, с герметизацией притворов	35	39	47	46	52
	воздушный зазор 200 мм, с прокладками	36	41	47	49	55
	воздушный зазор 300 мм, с прокладками	39	43	47	51	55
Стеклопакет (толщина 98 мм)	с прокладками	40	42	45	48	50

Таблица Б.3 —Звукоизоляция дверей

Конструкция	Примечание	Звукоизоляция (дБ) на частотах, Гц
Конструкция	Примечание	250	500	1000	2000	4000
Обыкновенная филенчатая дверь	без прокладок	14	16	22	22	20
Обыкновенная филенчатая дверь	с прокладками	19	23	30	33	32	без прокладок	23	24	24	24	23
с прокладками	27	32	35	34	35
Типовая дверь	без прокладок	23	31	33	34	36
Типовая дверь	с прокладками	30	33	35	39	41
Щитовая дверь из древесноволокнистых плит толщиной 4…6 мм с воздушным зазором 50 мм, заполненным стекловатой	без прокладок	26	30	31	28	29
	с прокладками	30	33	36	32	30
Дверь звукоизолирующая облегченная	одинарная	30	39	42	45	43
Дверь звукоизолирующая облегченная	двойная с зазором более 200 мм	42	55	58	60	60
Дверь звукоизолирующая тяжелая	одинарная	36	45	51	50	49
	двойная с зазором более 300 мм	46	60	60	65	65
	двойная с облицовкой тамбура	58	65	70	70	70

ПРИЛОЖЕНИЕ В
Взаимосвязь видов и способов дестабилизирующего воздействия на защищаемую информацию с его источниками

Таблица В.1 —Взаимосвязь видов и способов дестабилизирующего воздействия на защищаемую информацию с его источниками

Виды воздействия	Способы дестабилизирующего воздействия	Результат воздействия на информацию
1. Со стороны людей
Непосредственное воздействие на носители защищаемой информации	- физическое разрушение; - создание аварийных ситуаций для носителей; - удаление информации с носителей; - создание искусственных магнитных полей для размагничивания носителей; - внесение фальсифицированной информации в носители.	Уничтожение, искажение, блокирование
Несанкционированное распространение конфиденциальной информации	- словесная передача (сообщение) информации; - передача копий(снимков) носителей информации; - показ носителей информации; - ввод информации в вычислительные сети; - -опубликование информации в открытой печати; - использование информации в публичных выступлениях.	разглашение
Вывод из строя технических средств (ТС) при работе с информацией и средств связи	- неправильный монтаж ТС; - поломка(разрушение) ТС. В т.ч. разрыв (повреждение) кабельных линий связи; - создание аварийных ситуаций для ТС; - отключение ТС от сетей питания; - вывод из строя систем обеспечения функционирования ТС; - вмонтирование в ЭВМ разрушающих радио и программных закладок.	Уничтожение, искажение, блокирование

Продолжение таблицы В.1

Виды воздействия	Способы дестабилизирующего воздействия	Результат воздействия на информацию
Нарушение режима работы ТС и технологии обработки информации	- повреждение отдельных элементов ТС; - нарушение правил эксплуатации ТС; - внесение изменений в порядок обработки информации; - заражение программ обработки информации вредоносными вирусами; - выдача неправильных программных команд; - превышение расчетного числа запросов; - создание помех в радиоэфире с помощью дополнительного звукового или шумового фона; - передача ложных сигналов; - подключение подавляющих фильтров в информационные цепи, цепи питания и заземления; - нарушение, изменение режима работы систем обеспечения функционирования ТС.	Уничтожение, искажение, блокирование
Вывод из строя и нарушение режима работы систем обеспечения функционирования ТС	- неправильный монтаж систем; - поломка, разрушение систем или их элементов; - создание аварийных ситуаций для систем; - отключения систем от источников питания; - нарушение правил эксплуатации систем.	Уничтожение, искажение, блокирование
2. Со стороны технических средств при работе с информацией и средств связи
Выход ТС из строя	- техническая поломка, авария, возгорание, затопление (без вмешательства людей); - выход из строя систем обеспечения функционирования ТС; - воздействие природных явлений; - воздействие измененной структуры окружающего магнитного поля; - заражение программ обработки носителя информации, в том числе размагничивание магнитного слоя диска(ленты) изза осыпания магнитного порошка.	Уничтожение, искажение, блокирование

Окончание таблицы В.1

Виды воздействия	Способы дестабилизирующего воздействия	Результат воздействия на информацию
Создание электромагнитных излучений	- запись электромагнитных излучений.	Хищение
3. Со стороны систем обеспечения функционирования ТС при работе с информацией
Выход систем из строя	- техническая поломка, авария, возгорание, затопление (без вмешательства людей); - выход из строя источников питания; - воздействие природных явлений.	Уничтожение, искажение, блокирование
Сбои в работе систем	- появление технических неисправностей элементов систем; - воздействие природных явлений; - нарушение режима работы источников питания.	Уничтожение. Искажение, блокирование
4. Со стороны технологических процессов отдельных промышленных объектов
Изменение структуры окружающей среды	- изменение естественного радиационного фона окружающей среды при функционировании объектов ядерной энергетики; - изменение естественного химического состава окружающей среды при функционировании объектов химической промышленности; - изменения локальной структуры магнитного поля изза деятельности объектов радиоэлектроники и изготовлению некоторых видов вооружения и военной техники.	Хищение
5. Со стороны природных явлений
Землетрясение, наводнение, ураган (смерч), шторм, оползни, лавины, извержения вулканов Гроза, дождь, снег, перепады температуры и влажности. Магнитные бури	- разрушение (поломка), затопление, сожжение носителей информации, ТС работы с информацией, кабельных средств связи, систем обеспечения функционирования ТС; - нарушение режима работы ТС и систем обеспечения функционирования ТС; - нарушение технологии обработки.	Потеря, уничтожение, искажение, блокирование, хищение

Физическая защита информации