Файл: Исследование проблем защиты информации (Понятие защиты информации и основные информационные угрозы).pdf
Добавлен: 16.05.2023
Просмотров: 77
Скачиваний: 2
СОДЕРЖАНИЕ
1. Проблемы защиты информации: общие теоретические основы
1.1. Понятие защиты информации и основные информационные угрозы
1.2. Технология защиты информации на предприятии
2. Исследование защиты информации на примере ООО «Берег»
2.1. Анализ организации защиты информации в ООО «Берег»
2.2. Возможные каналы утечки информации в ООО «Берег» и модель нарушителя системы защиты информации
3. Разработка системы защиты информации в ООО «Берег»
3.2. Выбор оборудования и программного обеспечения для системы защиты информации в ООО «Берег»
Фирма арендует несколько помещений в семиэтажном бизнес центре (далее – БЦ). В помещениях уже есть некоторые разработанные и внедренные меры по защите информации.
В БЦ:
- осуществляется проход по пропускам;
- по всем коридорам здания и у входов установлены камеры видеонаблюдения;
- несколько раз в сутки охрана осуществляет обход центра;
Офисы, которые занимает организация:
- на большинстве дверей в кабинеты фирмы установлены магнитные замки. Смарт-карты к ним выдает заместитель генерального директора, он же и определяет, куда сотрудник по данной карте может пройти;
- внутри нескольких помещений установлены камеры видеонаблюдения;
- чтобы начать работу с ресурсами сети, необходимо ввести логин и пароль, который выдает системный администратор;
- разработаны должностные инструкции для сотрудников, устанавливающие их обязанности;
Основными объектами защиты на данном предприятии являются:
- кабинет ген. директора;
- финансового директора;
- переговорная;
- кассы;
- серверная;
- конфиденциальная информация.
На предприятии отсутствуют сведения, составляющие государственную тайну, но ведется работа с конфиденциальной информацией. Конфиденциальную информацию составляют сведения, составляющие коммерческую тайну, и сведения, содержащие персональные данные.
Конфиденциальной информацией в организации являются:
- сведения по вопросам управления, кадровым, штатным, правовым вопросам и вопросам региональной политики;
- сведения по экономической, финансовой и бухгалтерской деятельности;
- сведения по коммерческой деятельности на внутреннем рынке;
- сведения по вопросам внешнеэкономической деятельности.
Режим коммерческой тайны не может быть установлен в отношении сведений, перечисленных в ст. 5 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне".
Так же необходимо понимать, как происходит обмен информацией в фирме (схема обмена информацией в фирме представлена на рис. 1). Чтобы в дальнейшем правильно разграничить доступ к конфиденциальным данным.
Рис. 1. Обмен информацией в фирме
Для построения системы защиты информации необходимо выполнить следующие задачи:
- проанализировать объект защиты;
- составить перечень объектов защиты;
- определить перечень угроз для этих объектов;
- дополнить имеющиеся меры защиты;
- составить комплекс организационных мероприятий;
- проработать перечень программно-аппаратных и инженерно-технических мер.
Требуется улучшить существующую защиту информации внутри нескольких помещений:
- серверная;
- переговорная;
- кабинет ген. директора;
- касса;
- бухгалтерия.
В перечисленных помещениях хранится и обрабатывается конфиденциальная информация, поэтому эти помещения необходимо защитить не только физическими средствами, но и техническими.
2.2. Возможные каналы утечки информации в ООО «Берег» и модель нарушителя системы защиты информации
Для сохранения конфиденциальной информации необходимо точно знать возможные каналы утечки информации. Причиной утечки могут стать как случайные ошибки персонала, так и нацеленные действия злоумышленников.[9] Каналами утечки информации являются:
- сотрудники организации. Во всех организациях через сотрудников утекает самое большое количество информации. Это могут быть как «обиженные» сотрудники, так и случайные ошибки честных пользователей;
- оптический канал утечки. Большая часть помещений выходит окнами во двор, напротив нашего здания стоят два жилых дома. При хороших условиях, из этих зданий можно не вооруженным глазом увидеть, что происходит в помещении;
- акустический канал. Стены внутри помещений сделаны из более тонкого материала, который очень хорошо пропускает звук. Также из зданий напротив можно получить акустическую информацию;
- электрический канал. Большая часть различных проводов проходит по общим помещениям. За эту проводку отвечают сотрудники соответствующих служб БЦ;
- материальный канал утечки (документы, техника, мусор). Хотя сейчас в большинстве случаев информация и хранится в электронном виде, по- прежнему есть информация, которая хранится на бумаге. Такую информацию очень просто получить злоумышленнику, потому что она часто хранится не в защищенных местах.
Модель нарушителя системы защиты информации.
Из вышеизложенных возможных каналов утечки, можно построить модель нарушителя (см. Таблицу 1).
Таблица 1. Модель нарушителя
№ |
Тип угрозы |
Вероятный нарушитель |
Способ реализации угрозы |
Как устранить угрозу |
1 |
Копирование, удаление, изменение информации в компьютерах |
Сотрудник организации |
Если у сотрудника есть логин и пароль (или он знает логин-пароль другого сотрудника), он может скопировать, удалить, изменить любую информацию, к которой есть доступ. |
Управление доступом к ресурсам ПЭВМ средствами СЗИ от НСД. Регистрация действий пользователей средствами СЗИ от НСД. Регламентация прав и ответственности пользователей |
2 |
Визуальный просмотр информации |
Злоумышлен ник |
Из дома напротив очень хорошо просматривается несколько важных помещений. |
Использовать плотные жалюзи во время переговоров или показа какой-то информации. |
3 |
Запись информации |
Сотрудники, обслуживающий персонал, посетители |
При доступе в помещения, можно установить скрытую камеру |
Перед какими-то важными мероприятиями, необходимо проверять помещение на посторонние устройства |
4 |
Прослушивание информации снаружи офиса |
Злоумышлен ники, конкуренты |
Из соседнего дома, при использовании оборудования можно прослушивать о чем говорят в помещениях БЦ. |
Использование генератора шума |
5 |
Прослушивание информации внутри помещений |
Сотрудники организации, посетители, обслуживающи й персонал, сотрудники других фирм |
Стены помещений очень хорошо пропускают звук, и не применяя никаких специальных средств, можно услышать о чем говорят в соседнем помещении |
Произвести звукоизоляцию помещений |
6 |
Установка прослушивающих устройств |
Сотрудники, обслуживающий персонал, посетители |
При возможности попасть в важное помещение, злоумышленник может спрятать закладное устройство. |
Перед какими-то важными мероприятиями, необходимо проверять помещение на посторонние устройства |
7 |
Подключения к каналам связи |
Злоумышлен ник, обслуживающий персонал, посетитель |
Съем информации путем контактного подключения к кабельным линиям связи, или бесконтактный съем информации с кабельных линий связи. |
Использования средств физической защиты информации, включающих в себя постановщики заградительных помех, фильтры и средства физического поиска каналов утечки информации. |
8 |
Материальный канал утечки |
Сотрудники, посетители, обслуживающий персонал, злоумышленник |
Можно забрать с любого стола документы, переносимое запоминающее устройство, добыть информацию в мусоре. |
Доступ к конфиденциальной информации должен строго контролироваться. Также как доступы в важные помещения. Информация должна уничтожаться должным образом. |
После изучения возможных моделей нарушителя, становится понятно, что утечка информации может произойти по различным каналам. Поэтому необходимо организовать комплексную систему защиты информации, которая будет препятствовать использованию злоумышленниками любого из каналов утечки.
3. Разработка системы защиты информации в ООО «Берег»
3.1. Структурная схема и основные технические средства обеспечения безопасности информации в помещениях ООО «Берег»
Структурная схема безопасности информации на предприятии представлена на рис. 1 (приложение 1).
В офисе уже организована защита физическим методом, организационным, законодательным и программно-аппаратным, но нет никакой защиты техническими методами. Получается, что информация не защищена от прослушивания, визуального просмотра и от утечек по канал связи. Но ЗИ (защита информации) должна включать в себя пять методов и каждый из этих методов важен в построении защиты. Поэтому защита важных, для организации, помещений будет построена в основном с использованием технического метода.
Серверная.
Помещение серверной находится на 3 этаже (на общей схеме отмечено номером 12), окна выходят на улицу, напротив окон серверной находится промышленная зона. Размеры помещения: длина 6 м., ширина 3,5 м., высота 4 м. Дверь в помещение серверной деревянная, с механическим замком.
Возможные каналы утечки информации:
- акустический (открытая дверь, вентиляция);
- виброакустический (стены);
- утечка по линиям электропитания;
- акустоэлектрический (извещатели);
- высокочастотный канал утечки в технике, высокочастотное навязывание;
- радиозакладки в стенах, подвесных потолках, вентиляции и мебели;
- утечка по линиям локальной сети;
- вредоносное ПО на серверах и на терминалах локальной сети. Основная форма информации, представляющая интерес с точки зрения защиты - телекоммуникационная информация.
Размещение технических средств защиты информации в помещении изображено на рисунке 2.
Рисунок 2. Размещение технических средств защиты информации в помещении типа «Серверная»
Комплект технических средств для защиты помещения «Серверная» представлен в Таблице 2.
Таблица 2. Технические средства для защиты «Серверной»
№ на плане |
Технические средства защиты информации |
Канал утечки информации |
Цена, руб. |
Количество, шт. |
1 |
Генератор акустического белого шума ЛГШ-301 |
Акустический |
7 400 |
2 |
2 |
Вибрационный электромагнитный излучатель TRN-200 |
Виброакустический |
2 700 |
4 |
3 |
Генератор шума ГШ- 2500М |
Акустоэлектрический, побочные электромагнитные излучения и наводки |
13 500 |
2 |
4 |
Устройство комбинированной защиты «ГРОМ-ЗИ-4» |
Утечка по сетям электропитания и заземления, побочное электромагнитное излучение, наводки на вспомог. тех. средства и системы |
16 500 |
1 |
Помимо этих технических средств, необходимо установить железную дверь с магнитным замком в помещение серверной. Вход в серверную, в соответствии со схемой обмена информацией, должен быть только у сотрудников IT-отдела и высшего руководства.
Переговорная.
Помещение переговорной выходит окнами во двор. На общей схеме данное помещение под номером 23. Кабинет для переговоров имеет размеры: ширина 3,5/4,5 м, длина 8/3 м, высота 4 м.
До разработки системы безопасности, доступ в помещение имел любой сотрудник организации.
Возможные каналы утечки информации:
- акустический (открытые окна и дверь, вентиляция);
- виброакустический (отопление, стены);
- акустооптический (закрытые окна);
- утечка по линиям электропитания;
- акустоэлектрический (извещатели);
- дистанционный съем видеоинформации;
- несанкционированное использование сотовых телефонов;
- несанкционированное использование диктофонов и микрофонов;
- высокочастотный канал утечки в технике, высокочастотное навязывание;
- радио закладки в стенах, подвесных потолках, вентиляции и мебели. Основные формы информации, представляющие интерес с точки зрения защиты - документальная и акустическая (речевая). Документальная информация содержится в графическом или буквенно-цифровом виде на бумаге, а также в электронном виде на магнитных и других носителях.
Речевая информация возникает в ходе ведения в помещениях разговоров, а также при работе систем звукоусиления и звуковоспроизведения.
Размещение технических средств защиты информации в помещении изображено на рисунке 3.
Рисунок 3. Размещение технических средств защиты информации в помещении типа «Переговорная»
Комплект технических средств для защиты помещения «Переговорная» расписан в Таблице 3.
Таблица 3. Технические средства для защиты «Переговорной»
№ на плане |
Технические средства защиты информации |
Канал утечки информации |
Цена, руб. |
Количество, шт. |
1 |
Генератор акустического белого шума ЛГШ-301 |
Акустический |
7 000 |
3 |
2 |
Вибрационный электромагнитный излучатель TRN-2000 |
Виброакустичес-кий |
2 300 |
5 |
3 |
Генератор шума ГШ- 2500М |
Акустоэлектрический, побочные электромагнитные излучения и наводки |
13 500 |
2 |
4 |
Устройство комбинированной защиты «ГРОМ-ЗИ-4» |
Утечка по сетям электропитания и заземления, побочное электромагнитное излучение, наводки на вспомогательные тех. средства и системы |
16 500 |
2 |
5 |
Фильтр сетевой помехоподавляющий ЛФС-10-1Ф |
Утечка по сетям электропитания, защита от внешних помех |
30 500 |
1 |
6 |
Блокиратор устройств несанкционированного прослушивания и передачи данных "КЕДР- 2М" |
Несанкционированное прослушивание и передача данных |
64 200 |
2 |
8 |
Система виброакустического зашумления "Соната АВ" мод. 3М |
Акустооптический |
18 900 |
1 |
9 |
Виброизлучатель пьезоэлектрический ПИ- 3М |
Акустооптический |
2 400 |
2 |
Дополнительно к техническим средствам необходимо установить на окна плотные жалюзи. Заменить дверь на звуконепроницаемую. На дверь необходимо установить систему СКУД, и пропуск в помещения должен быть только у руководителей отделов и руководства фирмы.
Кабинет генерального директора.
Кабинет генерального директора находится на 3 этаже бизнес центра(на общем плане расположен под номером 22). Размеры помещения: ширина 3 м, высота 4 м, глубина 4 м.