Файл: Организационные меры при проведении совещаний.pdf

ВВЕДЕНИЕ

Актуальность темы исследования. Информационная безопасность – это стратегический инструмент развития бизнеса для большинства современных компаний. Потребности бизнеса в защите конфиденциальной информации, IT-инфраструктуры и бизнеса в целом растут пропорционально росту угроз безопасности и киберпреступности.

Один из источников значимой информации компании - это совещания, где представляются материалы по планам и результатам работы. Наличие большого числа людей и значительные размеры помещений ставят перед организациями задачу сохранения коммерческой тайны.

С развитием рыночных отношений, большинство средств, ранее находившихся под контролем спецслужб, стали доступными для частного сектора и вопрос их получения связан только с рыночной стоимостью и умением их использовать.

Защита информации при проведении совещаний с участием представителей сторонних компаний имеет актуальную важность и основные задачи для обеспечения информационной безопасности - это своевременная локализация и выявление возможных технических каналов утечки информации.

В нынешних условиях информация играет существенную роль, не только процессе экономического развития, но и в ходе конкурентной борьбы на внешнем и внутреннем рынках.

Развитие предприятий и успешное функционирование с каждым годом все сильнее зависит от совершенствования их деятельности в сфере обеспечения информационной безопасности в области бизнеса, предпринимательства и производства.

В зависимости от способов использования информации, она может представлять собой услугу, сырье или товар и, в следствии правильного использования, способствует какой-либо материальной выгоде для ее владельца.

В связи с этим, любой собственник информации пытается сохранить ее в тайне, формируя для этих целей систему защиты от несанкционированного доступа от злоумышленников. Злоумышленником, может являться лицо или компания, заинтересованная в получении возможности скрытого доступа к конфиденциальной информации, предпринимающие попытку такого доступа или совершившие его.

Таким образом, цель написания данной курсовой работы – исследовать основные проблемы защиты информации в деятельности современной организации.

Для достижения поставленной цели нам необходимо решить задачи следующего порядка:

- изучить основные теоретико-методологические аспекты по теме исследования: понятие, сущность и определение безопасности и защиты информации на предприятии;

- рассмотреть основные потенциальные угрозы безопасности и каналы утечки информации;

- провести анализ основных способов и мер по защите информации при проведении совещаний в целом;

- исследовать вопрос защита от утечки по акустическим и электромагнитным каналам;

- сделать основные выводы и дать заключение по теме исследования.

Теоретико-методологические аспекты по теме исследования: характеристика проблемной ситуации

Безопасность и защита информации на предприятии: понятие, сущность, определение

Защите в организации подлежат:

- Помещения. В главной степени закрытию подлежат помещения, где находятся ресурсы (материальные, людские, информационные), порча, потеря разглашение или модификация которых может повлиять на полную или частичную остановку производственного цикла, являющейся основной статьей получения доходов компании. К закрываемым помещениям относят дополнительно те, где есть ценности, потеря каких негативно отразится на основном производстве, но и не приведет к фатальным последствиям, и помещения, в которых находится оборудование, трудновосполнимое или имюещее высокую цену;

- Группы лиц. Классически выделяются три основные группы лиц - это сотрудники компании, посетители и злоумышленники (которые могут быть и теми, и другими). Довольно часто выделяется большее количество групп лиц, к примеру, происходит деление работников на «командную группу» и «рядовых рабочих», постоянных и временных работников, а посетителей делят на постоянных, разовых и временных;

- Угрозы. Дальнейший этап работы - это анализ всевозможных угроз. Даже поверхностная оценка может позволить найти меры, необходимые к выполнению для обеспечения безопасности, и произвести оценку (сравнительно со стоимостью защищенных ценностей) затрат, которые можно понести. Обычно, каждому помещению (вход, туалет, приемная, бухгалтерия, склад, АСУ, кабинет руководителя, производственная площадка, и т.д.) присваиваются потенциальные угрозы (воровство внешнее либо внутреннее, хулиганство, установка прослушивания, доступ к вычислительному средству, доступ к информации, архиву, вывод из строя оборудования и техники и т.д.). [2]

По содержательной части защита информации рассматривается как: предупреждение несанкционированного доступа к информации; создание условий, ограничивающих распространение информации; ограждение права собственника на владение и распоряжение информацией; предотвращение утечки, хищения, утраты, несанкционированного уничтожения, копирования, модификации, искажения, блокирования, разглашения информации, несанкционированных и непреднамеренных воздействий на нее; сохранение полноты, надежности, целостности, достоверности, конфиденциальности информации и т.д.

Методологической основой для раскрытия сущности и определения понятия защиты информации должно быть определение понятия защита в целом, безотносительно к предмету защиты. Под  информационной безопасностью  мы будем понимать защищенность информации и  поддерживающей инфраструктуры  от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

По ГОСТу Р 50922-96, защитой информации является деятельность, которая направлена на ликвидацию утечки защищаемой информации, от непреднамеренных и несанкционированных действий на защищаемую информацию и средства. [3]

Потенциальные угрозы безопасности и каналы утечки информации

Уровень угроз и виды безопасности информации в комнате для совещаний зависят от архитектуры строительной конструкции и расположения зала, от формы предоставления информации в процессе проведения совещаний и типа радиоаппаратуры и электроаппаратуры, размещенной в комнате. В связи с этим, для выявления угроз нужно рассмотреть пространственную и структурную модели комнат. Структурная модель определяет состав основных элементов помещения, которые влияют на безопасность информации: окна, двери, толщина перекрытий и стен, электронные устройства и радиоустройства, телефонные и иные линии связи, кабель электропитания и так далее. Пространственная модель определяет расположение зала на этаже, в коридоре, направленность окон по отношению к внешним возможным местам нахождения технических средств злоумышленника. [4]

Источник информации в процессе проведении совещания - это выступающие граждане, материалы для совещания, документы, модели, плакаты. Базовая часть информации в процессе совещании передается при помощи человеческой речи, источники такой информации - это сотрудники как рассматриваемой, так и сторонней компании, одним словом люди. Речевая информация - это то, что озвучивается участником совещания (обсуждение, замечание, ремарка). Речевая информация содержит в себе базовую смысловую нагрузку, из-за того, что является прямым выражением мысли человека.

Источником речевой информации в помещении совещания компании может являться: непосредственная речь участника заседания; люди, речь которых предварительно записывается и воспроизводится с помощью технических средств. Звуковая волна распространяется одинаково в разные стороны от источника звука и заполняет весь объем комнаты.

Защита информации в процессе проведения совещания при участии представителей других компаний имеет ряд особенностей, которые вызваны следующими факторами:

- большой ущерб от утечки информации по комплексным работам, в деятельности которых участвуют разные компании;

- присутствие на совещании, включая представителей исполнителя и заказчика, с различным отношением к требованию по обеспечению защиты информации;

- стремление части сотрудников других компаний в регистрации информации, не исключая возможность аудиозаписи на диктофон, для последующего анализа для информирования о ходе и результатах совещания своему руководству;

- стремление части сотрудников других компаний связаться с руководством в процессе совещания с целью проведения оперативных мероприятий;

- выполнение участниками совещания агентурных миссий;

- высокий уровень обобщения и концентрации закрытой информации в докладе участников, которые отображаются на плакатах и документах, расположенных на столе;

- большая продолжительность совещания при сравнении с обсуждением внутренних вопросов основной компании;

- совещание, как факт и состав участников совещания - это информативный демаскирующий признак процесса исполнения комплексной работы.

Возможность утечки информации на совещании зависят от большого числа факторов, основные из них это: возможность создания злоумышленником канала утечки информации; условие обеспечения разведывательных контактов в рамках определенного канала для утечки информации. Каналом утечки конфиденциальной информации является физический путь от источника конфиденциальной информации к злоумышленнику, при помощи которого возможна реализация несанкционированного доступа к ограниченной информации. Для формирования канала утечки информации нужны определенные, пространственные, временные и энергетические условия и технические соответствующие средства фиксации и восприятия информации.

В виде основных угроз безопасности информации в процессе проведения совещания являются: несанкционированная запись и подслушивание речевой информации при помощи закладных устройств, системы лазерного подслушивания, стетоскопа, диктофона; регистрация на внутренней территории при помощи радиомикрофона участниками, которые выполняют агентурное задание; перехват электромагнитного излучения в процессе работы электроприборов и звукозаписывающих устройств. Утечка звуковой информации может быть осуществлена через окна, стены, дверь, пол, батареи, потолок. Источником опасных сигналов в радиоволнах или в электрических сигналах могут являться звукозаписывающие и звукоусилительные средства, оповещатели охранной сигнализации, разные бытовые приборы, которые размещены в помещении для совещаний.

Наличие специалистов другой компании увеличивает возможность появления дополнительного канала утечки информации, другими словами злоумышленник сможет получить данные о том, что происходит на совещании при помощи найма кого-то из числа присутствующих на совещании компании. Большая доля информации на совещании предоставлена в качестве речевой информации. Речь, которая вызывает акустические сигналы, является механическим колебанием воздушной среды, где распространяются во все стороны одинаково от источника звука.

При попадании на твердые поверхности в помещении, колебания преобразуются в вибрационные сигналы, оставаясь по своей структуре механическими они распространяются по физическим конструкциям помещения на значимые расстояния. Это позволяет злоумышленнику заполучить информацию, которая передается не только акустическими звуковыми волнами, но и структурными звуками. В акустическом канале следует выделить следующие возможности распространения акустической волны: несущие стены, воздушная среда комнаты, тонкие стены между помещением для совещания и иными кабинетами, вентиляционный воздуховод, дверь.

Структурный звук имеет возможность распространяться и через дверные коробки, перегородки, стены, оконные рамы, по трубопроводу и коробу вентиляции. Угрозой безопасности речевой информации также является подслушивание: подслушивание с помощью технических средств и непосредственное подслушивание. Эти варианты можно разделить на:

- непосредственное подслушивание злоумышленником включает: а) подслушивание с запоминанием; б) подслушивание с записью. подслушивание с помощью технических средств содержит: а) подслушивание при помощи приема структурного звука, который распространяется в трубах и конструкциях помещения; б) подслушивание с помощью закладных акустических устройств; в) перехват опасного сигнала технических средств; г) подслушивание при помощи лазерной системы подслушивания.