Файл: Исследование проблем защиты информации.pdf

- чтобы начать работу с ресурсами сети, необходимо ввести логин и пароль, который выдает системный администратор;

- разработаны должностные инструкции для сотрудников, устанавливающие их обязанности;

Основными объектами защиты на данном предприятии являются:

- кабинет ген. директора;

- финансового директора;

- переговорная;

- кассы;

- серверная;

- конфиденциальная информация.

На предприятии отсутствуют сведения, составляющие государственную тайну, но ведется работа с конфиденциальной информацией. Конфиденциальную информацию составляют сведения, составляющие коммерческую тайну, и сведения, содержащие персональные данные.

Конфиденциальной информацией в организации являются:

- сведения по вопросам управления, кадровым, штатным, правовым вопросам и вопросам региональной политики;

- сведения по экономической, финансовой и бухгалтерской деятельности;

- сведения по коммерческой деятельности на внутреннем рынке;

- сведения по вопросам внешнеэкономической деятельности.

Режим коммерческой тайны не может быть установлен в отношении сведений, перечисленных в ст. 5 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне".

Так же необходимо понимать, как происходит обмен информацией в фирме (схема обмена информацией в фирме представлена на рис. 1). Чтобы в дальнейшем правильно разграничить доступ к конфиденциальным данным.

Рис. 1. Обмен информацией в фирме

Для построения системы защиты информации необходимо выполнить следующие задачи:

- проанализировать объект защиты;

- составить перечень объектов защиты;

- определить перечень угроз для этих объектов;

- дополнить имеющиеся меры защиты;

- составить комплекс организационных мероприятий;

- проработать перечень программно-аппаратных и инженерно-технических мер.

Требуется улучшить существующую защиту информации внутри нескольких помещений:

- серверная;

- переговорная;

- кабинет ген. директора;

- касса;

- бухгалтерия.

В перечисленных помещениях хранится и обрабатывается конфиденциальная информация, поэтому эти помещения необходимо защитить не только физическими средствами, но и техническими.

2.2. Возможные каналы утечки информации на предприятии

Для сохранения конфиденциальной информации необходимо точно знать возможные каналы утечки информации. Причиной утечки могут стать как случайные ошибки персонала, так и нацеленные действия злоумышленников.^[9] Каналами утечки информации являются:

- сотрудники организации. Во всех организациях через сотрудников утекает самое большое количество информации. Это могут быть как «обиженные» сотрудники, так и случайные ошибки честных пользователей;

- оптический канал утечки. Большая часть помещений выходит окнами во двор, напротив нашего здания стоят два жилых дома. При хороших условиях, из этих зданий можно не вооруженным глазом увидеть, что происходит в помещении;

- акустический канал. Стены внутри помещений сделаны из более тонкого материала, который очень хорошо пропускает звук. Также из зданий напротив можно получить акустическую информацию;

- электрический канал. Большая часть различных проводов проходит по общим помещениям. За эту проводку отвечают сотрудники соответствующих служб БЦ;

- материальный канал утечки (документы, техника, мусор). Хотя сейчас в большинстве случаев информация и хранится в электронном виде, по- прежнему есть информация, которая хранится на бумаге. Такую информацию очень просто получить злоумышленнику, потому что она часто хранится не в защищенных местах.

Модель нарушителя системы защиты информации.

Из вышеизложенных возможных каналов утечки, можно построить модель нарушителя (см. Таблицу 1).

Таблица 1. Модель нарушителя

После изучения возможных моделей нарушителя, становится понятно, что утечка информации может произойти по различным каналам. Поэтому необходимо организовать комплексную систему защиты информации, которая будет препятствовать использованию злоумышленниками любого из каналов утечки.

3. Разработка системы защиты информации в ООО «Реверс»

3.1. Разработка мер защиты информации в помещениях ООО «Реверс»

Структурная схема безопасности информации на предприятии представлена на рис. 1 (приложение 1).

В офисе уже организована защита физическим методом, организационным, законодательным и программно-аппаратным, но нет никакой защиты техническими методами. Получается, что информация не защищена от прослушивания, визуального просмотра и от утечек по канал связи.

Но ЗИ (защита информации) должна включать в себя пять методов и каждый из этих методов важен в построении защиты. Поэтому защита важных, для организации, помещений будет построена в основном с использованием технического метода.

Серверная.

Помещение серверной находится на 3 этаже (на общей схеме отмечено номером 12), окна выходят на улицу, напротив окон серверной находится промышленная зона. Размеры помещения: длина 6 м., ширина 3,5 м., высота 4 м. Дверь в помещение серверной деревянная, с механическим замком.

Возможные каналы утечки информации:

- акустический (открытая дверь, вентиляция);

- виброакустический (стены);

- утечка по линиям электропитания;

- акустоэлектрический (извещатели);

- высокочастотный канал утечки в технике, высокочастотное навязывание;

- радиозакладки в стенах, подвесных потолках, вентиляции и мебели;

- утечка по линиям локальной сети;

- вредоносное ПО на серверах и на терминалах локальной сети. Основная форма информации, представляющая интерес с точки зрения защиты - телекоммуникационная информация.

Размещение технических средств защиты информации в помещении изображено на рисунке 2.

Рисунок 2. Размещение технических средств защиты информации в помещении типа «Серверная»

Комплект технических средств для защиты помещения «Серверная» представлен в Таблице 2.

Таблица 2. Технические средства для защиты «Серверной»

Помимо этих технических средств, необходимо установить железную дверь с магнитным замком в помещение серверной. Вход в серверную, в соответствии со схемой обмена информацией, должен быть только у сотрудников IT-отдела и высшего руководства.

Переговорная.

Помещение переговорной выходит окнами во двор. На общей схеме данное помещение под номером 23. Кабинет для переговоров имеет размеры: ширина 3,5/4,5 м, длина 8/3 м, высота 4 м.

До разработки системы безопасности, доступ в помещение имел любой сотрудник организации.

Возможные каналы утечки информации:

- акустический (открытые окна и дверь, вентиляция);

- виброакустический (отопление, стены);

- акустооптический (закрытые окна);

- утечка по линиям электропитания;

- акустоэлектрический (извещатели);

- дистанционный съем видеоинформации;

- несанкционированное использование сотовых телефонов;

- несанкционированное использование диктофонов и микрофонов;

- высокочастотный канал утечки в технике, высокочастотное навязывание;

- радио закладки в стенах, подвесных потолках, вентиляции и мебели. Основные формы информации, представляющие интерес с точки зрения защиты - документальная и акустическая (речевая). Документальная информация содержится в графическом или буквенно-цифровом виде на бумаге, а также в электронном виде на магнитных и других носителях.

Речевая информация возникает в ходе ведения в помещениях разговоров, а также при работе систем звукоусиления и звуковоспроизведения.

Размещение технических средств защиты информации в помещении изображено на рисунке 3.

Рисунок 3. Размещение технических средств защиты информации в помещении типа «Переговорная»

Комплект технических средств для защиты помещения «Переговорная» расписан в Таблице 3.

Таблица 3. Технические средства для защиты «Переговорной»

Дополнительно к техническим средствам необходимо установить на окна плотные жалюзи. Заменить дверь на звуконепроницаемую. На дверь необходимо установить систему СКУД, и пропуск в помещения должен быть только у руководителей отделов и руководства фирмы.

Кабинет генерального директора.

Кабинет генерального директора находится на 3 этаже бизнес центра(на общем плане расположен под номером 22). Размеры помещения: ширина 3 м, высота 4 м, глубина 4 м.

Окна помещения выходят во двор. Выход из помещения осуществляется через кабинет переговорной.