ФЕДЕРАЛЬНОЕАГЕНТСТВО ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА
ОМСКИЙГОСУДАРСТВЕННЫЙ УНЕВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ
Датасдачи: 09.02.02г.
кафедра«Системы и технологии защиты информации»
КУРСОВАЯ РАБОТА
по дисциплине: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТАИНФОРМАЦИИ
на тему: Разработка комплексной системы защиты информации объектазащиты.
Вариант№15
Проверил: Выполнил:
преподаватель студентка:Крюкова А.Н.
Решков К.А. шифр:2000-ИТ-1250
Омск
2004
Введение
Становлениеинформационного общества связано с широким распространением персональныхкомпьютеров, построением глобальной информационной Сети и подключения к нейбольшого числа пользователей. Эти достижения должны коренным образом изменитьжизнь общества, выдвинув на передний план деятельность, связанную спроизводством, потреблением, трансляцией и хранением информации.
Одной изнаиболее серьезных проблем, затрудняющих применение информационных технологий,является обеспечение информационной безопасности.
Информационнаябезопасность – такое состояние рассматриваемой системы, при котором она, содной стороны, способна противостоять дестабилизирующему воздействию внешних ивнутренних угроз, а с другой – её функционирование не создаёт информационныхугроз для элементов самой системы и внешней среды.
Угрозабезопасности информации — совокупность условий и факторов, создающих потенциальнуюили реально существующую опасность, связанную с утечкой информации илинесанкционированными и непреднамеренными воздействиями на нее.
Компьютернаяреволюция помогла информации стать центром внимания основополагающих воззрений.Признание информации основой жизни вряд ли сводимо к внутренним мотивациям.Социальные, экономические и политические науки в попытках осознанияпроисходящих перемен обращают пристальное внимание на компьютерную информацию,как на новый фактор глобального влияния.
Интересыгосударства в информационной сфере заключаются в создании условий длягармоничного развития российской информационной инфраструктуры, для реализацииконституционных прав и свобод человека и гражданина в области полученияинформации и пользования ею в целях обеспечения незыблемости конституционногостроя, суверенитета и территориальной целостности России, политической, экономическойи социальной стабильности, в безусловном обеспечении законности и правопорядка,развитии равноправного и взаимовыгодного международного сотрудничества.
СогласноГОСТу 350922-96, защита информации — это деятельность, направленная напредотвращение утечки защищаемой информации, несанкционированных инепреднамеренных воздействий на защищаемую информацию.
Цельюкурсовой работы является:
Разработатькомплексную систему защиты информации, обеспечивающую выполнение требованийсоответствующей нормативной базы и блокирование определенных техническихканалов утечки информации.
/>1. Описание объекта защиты/> 1.1 Описание вида деятельности и формысобственности объекта защиты
Объектомзащиты в данной курсовой работе согласно Гост Р51275-99. об Объектеинформатизации, то есть — это совокупность информационных средств и системобработки информации, используемые в соответствии с заданной информационнойтехнологией, средств обеспечения объекта информатизации, помещение илиобъектов, в которых они установлены или помещения и объекты, предназначенныеведения конфиденциальных переговоров. Будет являться Помещениесостоящего из 1 компьютера и проектора для презентаций. Используется дляпроведения заседаний совета директоров. На компьютере содержатся данныеотносящиеся к коммерческой тайне.
Помещениенаходится в здании отделения дороги Златоустовского региона в региональномотделе автоматизированной системы управления, для проведения информационныхзаседаний и решения различных вопросов по отделу. Объект защищается на уровнеРегионального отдела автоматизированной системы управления занимающийсядеятельностью информационных ресурсов, поставке и настройке программного обеспеченияПК для пользователей различных предприятий Златоустовского региона. Данноепомещение используется отделом для заседаний и советов по решению различныхинформационных вопросов в количестве 7 ответственных лиц заседания.
Вариантзадания для курсовой работы№ Граница контролируемой зоны Категория информации ограниченного доступа Технический канал утечки информации(угроза) помещение КТ ВА ОК
Принятыесокращения:
ПД –персональные данные;
КТ –коммерческая тайна;
СТ –служебная тайна;
ПЭМИ –паразитные электромагнитные излучения;
ВА –виброакустический;
ОЭ –оптико-электронный. />1.2План объекта защиты, взаимное расположение других помещений
/>
/>2. Категорирование информации на объекте защиты/> 2.1 Определение перечня общедоступной информации
Переченьобщедоступной информации:
1. Информацияоб уставе организации, правилах внутреннего трудового распорядка дня и правилтехники безопасности при работе с персональной техникой;
2. Информацияо занимаемых должностях сотрудников, ФИО и их рабочих телефонах;
3. Информацияо графике работы организации;
4. Клиентскиебаза данных;
5. Информацияо списках предприятий по региону и их курирующих лиц;/> 2.2 Определение перечня информации ограниченногодоступа
Переченьинформации ограниченного доступа:
1.Личнаяинформация о сотрудниках и их должностных инструкциях;
2.Информацияо поставках техники для распределяемых предприятий;
3.Информацияо финансовой деятельности организации (бухгалтерский учет и заработной платысотрудников);
4.Информацияо сетевых настройках компьютеров и серверов;
5.Информацияо документах организации;/>
3. Угрозы информации сограниченным доступом
Угрозабезопасности информации — совокупность условий и факторов, создающих потенциальнуюили реально существующую опасность, связанную с утечкой информации илинесанкционированными и непреднамеренными воздействиями на нее./>3.1Определение перечня внутренних угроз
В реальностисуществует два вида угроз информационной безопасности:
1. Внутренняя:
— несанкционированный доступ в помещение;
— несанкционированный доступ к данным внутри корпоративной сети и данных ПК безведома сотрудника;
— возможностьзаписи информации на переносные устройства (флэш-накопители, CD- и DVD-диски ит.п.);
— пересылкафотоснимков бумажных носителей и экранов мониторов с помощью мобильныхтелефонов и другими способами, через удаленный доступ к ПК;
— программныевирусы и «троянские» программы;
— незаконноескачивание и распространение за пределами предприятия лицензионных программорганизации;
— неконтролируемая электронная почта;
— выностехники организации, без соответствующего документа;
— вноспосторонней техники на территорию организации;/>
3.2 определение перечня внешних угроз
2. Внешняя:
— несанкционированный доступ из сети Интернет;
— снятиеинформации с кабельных систем (ЛВС и электропитания) при помощи техническихсредств;
— записьразговоров на расстоянии сквозь стены (окна, двери) и т. д.;
-несанкционированнаяустановка, микрофонов в помещениях;
/>4. Реализация комплексной системы защиты информации/> 4.1 Разработка системы разграничения доступа
4.1.1 Матрица доступа будет определять порядокдоступа с соответствующими правами на запись (W), чтение
(R ), и модификацию данных (U) к общедоступной изакрытой информации различным ролям в сети.
Матрицадоступа к общедоступным информационным ресурсам
Сотрудники Роли G1 G2 G3 G4 G5 S1 R R R RW RW S2 R R RW RW RW S3 R R R RW RW S4 R R R RW RW S5 R R RW RW RW S6 R R R RW RW S7 RWU RWU RWU RWU RWU
ИнформацияGдоступ к которой не ограничен (общедоступная информация).
Роли G
G1. Информация об уставеорганизации, правилах внутреннего трудового распорядка дня и правил техникибезопасности при работе с персональной техникой;
G2. Информация озанимаемых должностях сотрудников, ФИО и их рабочих телефонах;
G3. Информация о графикеработы организации;
G4. Клиентские базаданных;
G5. Информация о спискахпредприятий по региону и их курирующих лиц;
СотрудникиS
S1 Программист;
S2 Программист 1категории;
S3 Программист 2категории;
S4 Технолог;
S5 Технолог 1 категории;
S6 Техник 1 категории;
S7 Ведущий программист;
ИнформацияGдоступ к которой ограничен.
Роли G
G1.Личная информация осотрудниках и их должностных инструкциях;
G2.Информация о поставкахтехники для распределяемых предприятий;
G3.Информация о финансовойдеятельности организации (бухгалтерский учет и заработной платы сотрудников);
G4.Информация о сетевыхнастройках компьютеров и серверов;
G5.Информация о документахорганизации;
СотрудникиS
S1 Программист;
S2 Программист 1категории;
S3 Программист 2категории;
S4 Технолог;
S5 Технолог 1 категории;
S6 Техник 1 категории;
S7 Ведущий программист;
Матрицадоступа к ограниченным информационным ресурсам
Сотрудники Роли G1 G2 G3 G4 G5 S1 R R R RW R S2 R R R RW R S3 R R R RW R S4 R R R RW R S5 RW RW R RW R S6 R R R R R S7 RWU RWU RWU RWU RWU /> 4.1.2 Меры по разграничению доступа
— определениеперечня информации, составляющей коммерческую тайну;
— ограничениедоступа к информации, составляющей коммерческую тайну, путем установленияпорядка обращения с этой информацией и контроля за соблюдением такого порядка;
— учет лиц,получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц,которым такая информация была предоставлена или передана;
— регулирование отношений по использованию информации, составляющей коммерческуютайну, работниками на основании трудовых договоров и контрагентами на основаниигражданско-правовых договоров;
— нанесениена материальные носители (документы), содержащие информацию, составляющуюкоммерческую тайну, с указанием обладателя этой информации (для юридических лиц- полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем,и место жительства). 4.1.2.1 Средства и системы защиты
Средствозащиты информации – техническое, криптографическое, программное и иное средство,предназначенное для защиты информации, средство, в котором оно реализовано, атакже средство контроля эффективности защиты информации.
Средствазащиты информации делятся на:
1.Физические– различные инженерные средства и сооружения, затрудняющие или исключающиефизическое проникновение (или доступ) правонарушителей на объекты защиты и кматериальным носителям конфиденциальной информации:
2.Аппаратные– механические, электрические, электронные и другие устройства, предназначенныедля защиты информации от утечки, разглашения, модификации, уничтожения, а такжепротиводействия средствам технической разведки:
3.Программные – специальные программы для ЭВМ, реализующие функции защитыинформации от несанкционированного доступа, ознакомления, копирования,модификации, уничтожения и блокирования.
4.Криптографические – технические и программные средства шифрования данных,основанные на использовании разнообразных математических и алгоритмическихметодов.
5.Комбинированные – совокупная реализация аппаратных и программных средств икриптографических методов защиты информации.
В вибрационных(структурных) технических каналах утечки информации средой распространенияакустических сигналов являются конструкции зданий, сооружений (стены, потолки,полы), трубы водоснабжения, отопления, канализации и другие твердые тела. Дляперехвата акустических колебаний в этом случае используются контактныемикрофоны (стетоскопы). Контактные микрофоны, соединенные с электроннымусилителем, называют электронными стетоскопами. По вибрационному каналу такжевозможен перехват информации с использованием закладных устройств. В основномдля передачи информации используется радиоканал поэтому такие устройства частоназывают радиостетоскопами. Возможно использование закладных устройств спередачей информации по оптическому каналу в ближнем инфракрасном диапазонедлин волн, а также по ультразвуковому каналу (по металлоконструкциям здания).
/>4.2 Разработка организационно распорядительной документации.
Приразработке организационно- распорядительной документации необходимо учитыватьограничение на распространение информации с ограниченным доступом./> 4.2.1 Трудовой договор
Трудовойдоговор — соглашение между работодателем и работником, в соответствии с которымработодатель обязуется предоставить работнику работу по обусловленной трудовойфункции, обеспечить условия труда, предусмотренные трудовым законодательством идругими нормативными актами, своевременно и в полном размере выплачиватьработнику заработную плату, а работник обязуется лично выполнять определеннуюэтим соглашением трудовую функцию, соблюдать правила внутреннего трудовогораспорядка, действующие у данного работодателя.
Существеннымиусловиями трудового договора являются (ст.57 ТК РФ):
· местоработы — наименование и местонахождение организации, куда принимается работник;
· трудоваяфункция — род работы в соответствии с квалификацией по определенной профессии(должности), которую должен выполнять работник. Род работы остается неизменнымна все время действия трудового договора. Работодатель не вправе требовать отработника выполнения работы, не обусловленной трудовым договором;
· датаначала работы;
· условияоплаты труда(в том числе размер тарифной ставки или должностного оклада работника, доплаты,надбавки и поощрительные выплаты).
Трудовойдоговорможет содержать и дополнительные условия, например (ст.57 ТК РФ):
· обустановлении испытательного срока;
· онеразглашении охраняемой законом тайны;
· осовмещении профессий (должностей);
· овидах и об условиях дополнительного страхования работника;
· обулучшении социально-бытовых условий работника и членов его семьи;
· обобязанности работника отработать после обучения не менее установленноготрудовым договором срока, если обучение проводилось за счет средств работодателя;
· опродолжительности дополнительного отпуска, а также иные условия, не ухудшающиеположение работника по сравнению с ТК РФ, законами и иными нормативнымиправовыми актам (ст.57 ТК РФ).
Заключениетрудового договора происходит в письменной форме, договор составляется в двухэкземплярах, каждый из которых подписывается сторонами. Один экземпляртрудового договора передается работнику, другой хранится у работодателя.
Прием наработу оформляется приказом о приеме на работу (распоряжением) предприятияработодателя и фиксируется записью в трудовой книжке. Основанием приказа оприеме на работу служит заявление о приеме на работу, написанное работником.
Приложение кдоговору — это правовой документ, являющийся неотъемлемой частью договора исодержащий дополнительные данные о сделке.
В трудовых договорахиспользуются следующие приложения:
· Должностнаяинструкция;
· Графикработы;
· Соглашениео неразглашении конфиденциальной информации;
· Переченьрасценок работ.
/>4.2.2Должностные инструкции
Должностнаяинструкция — документ, в котором закрепляются обязанности сотрудника,предъявляемые к нему квалификационные требования, порядок замещения ивзаимоотношений.
Соглашениеприменяется на основании и в соответствии с договором, к которому прилагается;форма соглашения определяется индивидуально в каждом конкретном случае.
В должностнойинструкции обязательно должен быть прописан пункт о неразглашенииконфиденциальной информации (персональных данных).
Ниже приведенпример одной должностной инструкции техника 1- категории, на одного сотрудникаданной работы, остальные должностные инструкции аналогичны с некоторойразницей.
ГЛАВНЫЙВЫЧИСЛИТЕЛЬНЫЙ ЦЕНТР
ФИЛИАЛОТКРЫТОГО АКЦИОНЕРНОГО ОБЩЕСТВА
«РОССИЙСКИЕЖЕЛЕЗНЫЕ ДОРОГИ»
(«ОАО«РЖД»)
ЧЕЛЯБИНСКИЙ
ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫЙ ЦЕНТР
Утверждаю
НачальникЧелябинского ИВЦ
______________Н.А.Алексеев
«___»_____________2007года
ДОЛЖНОСТНАЯИНСТРУКЦИЯ
1. Ф.И.О.: Фролова АлександраНиколаевна
2. Отдел: РОАСУ-1
3. Должность: Техник 1категории
4. Замещает:
5. Кемзамещается: Программистом 2 категории
6. Порядокподчинения: Начальнику отдела, программисту 1 категории
7. ОБЯЗАННОСТИ:
7.1. Сопровождениеинвентаризации «Реестр-регистр», «Реестр-Сбор».
7.2. СопровождениеАС «Удар».
7.3. Сопровождениекомплекса ЕК АСУТР ШР, КУ на предприятиях: ШЧ-10, ПЧ-2, ДТШ Златоуст.
7.4. СопровождениеАСУТР по функциональности «Профобучение» и «Охрана труда» на всех предприятияхрегиона.
7.5. Установкапрограммного обеспечения, настройка задач на конкретное рабочее место.
7.6. Решениепроблем, возникающих при эксплуатации АРМов.
7.7. Обучениепричастных работников предприятий работать на ПЭВМ, с последующей аттестацией.
7.8. Инструктированиепричастных сотрудников на рабочих местах о действиях в сложившихся ситуациях потелефону, с помощью программ удаленного доступа, либо выходит на предприятия.
7.9. Изучениетехнологических и методологических материалов.
7.10. Участие в составлениипланов и отчетов о работе отдела.
7.11. Соблюдение правил ТБ иППБ, устава о дисциплине работников ж.д., правил внутреннего распорядка ИВЦ,требований и правил трудовой дисциплины.
7.12. Выполнение отдельныхпоручений руководства ИВЦ, начальника отдела и его заместителя.
8. ДОЛЖЕНЗНАТЬ:
8.1. Технологиюбухгалтерского и кадрового учета в системах ЕКАСУФР и ЕК АСУТР.
8.2. Технологиюустановки клиентских мест в системах ЕКАСУФР и ЕК АСУТР.
8.3. Правилаличной и противопожарной безопасности.
9. НЕСЕТОТВЕТСТВЕННОСТЬ:
9.1. Завнедрение задач в пределах своих обязанностей.
9.2. Засоблюдение сроков выполнения работ.
9.3. Засоблюдение ТБ, ПТЭ и ППБ.
10. ИМЕЕТПРАВО:
10.1. Обращаться к работникамслужб и отделов управления дороги и других подразделений по вопросам, связаннымс решением задач для данной службы, отдела или подразделения.
10.2. Докладывать о нарушениях,допущенных при эксплуатации оборудования руководителям ИВЦ и службы НКИ.
10.3. Обращаться круководителям отдела и ИВЦ по вопросам организации работы и условий труда.
НачальникРОАСУ-1 ____________ С.В. Быкова “ ___ “ апреля 2007 г.
ОЗНАКОМИЛСЯ____________ А.Н. Фролова “ ___ “ апреля 2007/>угроза доступ собственность защита4.2.3 Инструкции пользователя
Так каккаждое место работника оборудовано компьютерной техникой, то существует иинструкция пользователя этой компьютерной техникой. В инструкции пользователядолжна быть указана информация о наличии паролей, а так же об ограничении нараспространение конфиденциальной информации по корпоративной сети организациичерез электронную почту.
Приступая к работе, необходимо надлежащим образом подготовить своерабочее место.
При обслуживании электронныхвычислительных машин.
Наиболее опасным при обслуживании ПЭВМ является возможноепоражение электрическим током.
Сила тока в 0,1А может явиться смертельной. Сопротивлениечеловеческого организма электрическому току колеблется и зависит от рядапричин, в том числе от состояния кожного покрова, от общего состояния нервнойсистемы человека.
Запрещается:
а) присоединять и отсоединять разъемы питания при включенноймашине;
б) производить пайку электропаяльником напряжением в сетивыше 42 В.
При проведении ремонтных работ на ПЭВМ необходимо создатьнормальное освещение рабочего места.
В рабочем режиме все устройства ПЭВМ должны быть закрыты внешнейоблицовкой.
Заменять бумагу, красящую ленту, только после полной остановкиоборудования.
Не загромождать проходы.
Требованиядля работающих на ПЭВМ.
На рабочем месте, где установлена ПЭВМ, должны находиться толькообрабатываемые документы, не допускается присутствие посторонних предметов.Стул должен быть удобным, регулируемым по высоте. Экран дисплея должен бытьрасположен на расстоянии не менее 50 см от глаз работника. Для защиты от прямыхсолнечных лучей, большой яркости на экранах дисплеев необходимо пользоваться затемняющимишторами.
Операторы, работающие постоянно с терминалами, должны делатьперерывы в работе через каждые 2 часа работы на 10 – 15 минут. Во времяперерывов делать точечный массаж глаз, чтобы снять усталость.
Не реже 1 раза в смену удалять пыль с экранов при выключенноммониторе. Для исключения влияния статического электричества на работающих нерекомендуется при включенных дисплеях дотрагиваться до экрана руками.
/>4.3 Блокирование технических каналов утечки информации
Подтехническим каналом утечки информации (ТКУИ) понимают совокупность объектаразведки, технического средства разведки (TCP), с помощью которого добываетсяинформация об этом объекте, и физической среды, в которой распространяется информационныйсигнал. По сути, под ТКУИ понимают способ получения с помощью TCPразведывательной информации об объекте. 4.3.1 Выбор ТКУИ, подлежащих блокированию. Вибрационныетехнические каналы утечки информации
Ввибрационных (структурных) технических каналах утечки информации средойраспространения акустических сигналов являются конструкции зданий, сооружений(стены, потолки, полы), трубы водоснабжения, отопления, канализации и другиетвердые тела. Для перехвата акустических колебаний в этом случае используютсяконтактные микрофоны (стетоскопы). Контактные микрофоны, соединенные сэлектронным усилителем, называют электронными стетоскопами. По вибрационномуканалу также возможен перехват информации с использованием закладных устройств.В основном для передачи информации используется радиоканал поэтому такиеустройства часто называют радиостетоскопами. Возможно использование закладныхустройств с передачей информации по оптическому каналу в ближнем инфракрасномдиапазоне длин волн, а также по ультразвуковому каналу (по металлоконструкциямздания).
Для установкина внешних оконных стеклах могут использоваться сверхминиатюрныерадиостетоскопы, покрытые липкой резиновой массой и по внешнему видунапоминающие шарик или комочек грязи. Такой шарик путем ручного броскаприклеивается с наружной стороны окна и передает информацию в течение 1 — 2дней, по их истечении резиновая масса высыхает, закладка отлипает отповерхности, на которой была прикреплена, и падает. Для установкирадиостетоскопов в местах, физический доступ к которым невозможен, используютсяспециальные бесшумные пистолеты или арбалеты, стреляющие “стрелами — радиозакладками”. Стрела с миниатюрной радиозакладкой, в удароустойчивомисполнении, надежно прикрепляется к поверхностям из любого материала: металла,дерева, пластмассы, стекла, камня, бетона и т.п. при выстреле с расстояния до25 м.
В периодстроительства в стены здания могут быть встроены радиостетоскопы длительноговремени действия, оснащенные системой дистанционного управления. Время работытаких устройств может составлять в режиме дежурного приема более 10 лет, а врежиме передачи – более 6 месяцев.
Для исключения несанкционированногодоступа к информации по виброакустическим каналам утечки информации, необходимоопределить элементы помещения, через которые может возникнуть утечка. Можновыделить следующие типовые конструкции, по которым передаются речевые сигналы:
В акустическом сигнале это — несущиестены зданий, перегородки, перекрытия зданий, окна, двери, вентиляционныевоздуховоды;
Ввибрационном канале это — стены и перегородки, перекрытия, оконные рамы,дверные коробки, трубопроводы, короба вентиляции. Это окна, двери, батареи,телефонный и электрический кабель.
Краткое описаниесодержимого комнаты.
Заявляемая категория объекта:
Этаж: .....2
Площадь (кв. м), высотапотолков (м): каб. - 48 м2, (6*8 м), h -3,30 м
— подвесной (воздушныйзазор) потолок гипсолитовый, зазор h - 0,3 м
Перекрытия (потолок,пол), толщина (мм): железобетонные перекрытия
Стеновые перегородки:бетон толщина 50 мм
Стены наружные: кирпичные
— толщина (73см)
— кирпич керамическийпустотелый
— экранирование иштукатурка: присутствует
— другие материалы: свнутренней стороны стены отделаны под «евростандарт»
Окна:
— размерпроема: .....200*80 см
— количествопроемов: .....3
— наличиепленок (назначение, тип, марка)… отсутствуют
— тип окна(с двойным утолщенным стеклом): толщина стекла 6 мм (ОРС18-15 В)
Двери :
— размерпроема: одностворчатые 220*90 см
— двери: 220*90 смодностворчатые
— тип: легкаяодинарная деревянная без уплотнений, замок электронный
Описаниесмежных помещений:
-назначение,характер проводимых работ: сверху: бухгалтерия, отдел кадров, север -коридор, юг – дорога к зданию, запад - приемная, восток –внешняя стена.
-наличие в нихтехнических средств… передачи и обработки данных: ПЭВМ, телефоны.
Системаэлектропитания (освещение):
— сеть: 220 В /50 Гц
— тип светильникови их количество: галогеновые потолочные светильники (6 шт.)
Системазаземления: имеется
Системы сигнализации(тип): имеется: пожарная (фотооптические детекторы) - 2 шт., охранная(акустические детекторы) - 6 шт.
Система вентиляции(тип): приточно-вытяжная, с мех. побуждением, проем 250*160 мм
Системаотопления:
-центральное водяное: водяное,три стояка, проходящие транзитом снизу вверх
— наличие экрановна батареях: декоративное укрытие
Телефонныелинии:
— количествои тип ТА: .....2 шт., (Voice Coder-2400- 1 шт), Panasonic -беспроводной 900 МГц )
— городскаясеть 1 шт., два параллельных аппарата (обычный и беспроводной)
— типрозеток: евророзетка.
— типпроводки: двухпроводные линии, «хлорка»
Оргтехника: ПЭВМ в полнойконфигурации - 1 шт., проектор 1шт.
- Описание обстановки вокруг объекта:
- Объект расположен в ЖД районе города, окружен с трех сторонпостройками различного назначения и ведомственной принадлежности, с4-той стороны дорогой со светофором и трамвайной линией. Слеваот объекта расположено одноэтажное здание, в котором размещенлинейный отдел милиции. Расстояние между зданиями составляет около10-20 м. Справа от объекта на расстоянии 30-35 м расположенпятиэтажный жилой дом. С входной стороны здания на расстоянии 50 м с проходящейдорогой между зданием, расположено семейное 4-х этажное здание семейногообщежития
Схематический планобъекта защиты:
10
11
5 />
9
7
61
8
41
31
2
1 />/>/>/>/>/>/>/>/>/>/>
1.Телефонныеаппараты (обычный и беспроводной).
2.ПК.
3.Стол подрабочую технику
4.Кресло,место руководителя.
5.Сканер.
6.Факс.
7.Стол длясовещаний.
8. Плакат дляпроектора.
9.Окно.
10.Проектор
11.Вх.дверь./> 4.3.2 Определение нормы блокирования
Контролируемая зона – это территория объекта, накоторой исключено неконтролируемое пребывания лиц не имеющие постоянного илиразового доступа.
Контролируемая зона может ограничиватьсяпериметром охраняемой территорией частично, охраняемой территорией охватывающейздания и сооружения, в которых проводятся закрытые мероприятия, частью зданий,комнаты, кабинеты, в которых проводятся закрытые мероприятия. Контролируемаязона может устанавливаться больше чем охраняемая территория, при этомобеспечивающая постоянный контроль за не охраняемой частью территории.Постоянная контролируемая зона – это зона границы, которой устанавливается надлительный срок. Временная зона – это зона, устанавливаемая для проведениязакрытых мероприятий разового характера.
Первой категории универсального объекта,требуется 50 метров контролируемой зоны. Второй категории объекта, требуется 30метров, а третей категории объектов требуется 15 метров контролируемой зоны.
Также требуется определенный размерконтролируемой зоны для разных типов специализированных объектов таблица №1.
При выборе мест для размещения объектовнеобходимо строго
соблюдать требования по обеспечению размера КЗ.
Требования размеров КЗ по защите перехватапобочных электромагнитных излучений.
Таблица№1Тип СО КЗ (м) Телефон.ап 250 ПК 100 окно 50 Стол 45 Вх.дверь 40 Факс 35 Тел.розетка 30 Место.рук 20 проектор 15
Возможностипо перехвату информации будут во многом определяться затуханием информационногосигнала в ограждающих конструкциях и уровнем внешних шумов в месте установкиконтактного микрофона (табл. 2).
Таблица№2
Наименование конструкции
Затухание сигнала, дБ Стена в 0,5 кирпича 40 – 48 Стена в 1 кирпич 44 – 53 Стена в 2 кирпича 46 – 60 Стена из железобетонных блоков (100 мм) 40 – 50 Стена из железобетонных блоков (200 мм) 44 – 60 Окно одинарное (4 мм) 22 – 28 Окно двойное (4 мм) 32 – 48 Дверь типовая 23 – 34 Дверь металлическая, облицованная 32 – 48
Качестводобываемой средствами акустической разведки речевой информации по прямомуакустическому и виброакустическому каналам вполне достаточно для составленияподробной справки о содержании перехваченного разговора (табл. 3)
Таблица№3
Место установки датчика аппаратуры акустической разведки
Вид принимаемого сигнала
Словесная разборчивость, % За окном на расстоянии 1,0 — 1,5 м от оконной рамы при закрытой форточке Прямой акустический 67 – 80 За окном на расстоянии 1,0 — 1,5 м от оконной рамы при открытой форточке Прямой акустический 97 – 98 На оконной раме или внешнем оконном стекле при закрытой форточке Виброакустический 71 – 80 За дверью (без тамбура) Прямой акустический 91 – 97 За перегородкой из материалов типа гипсолит, асбестоцемент Прямой акустический 71 – 87 На перегородке из материалов типа гипсолит, асбестоцемент Виброакустический 84 – 95 На железобетонной стене Виброакустический 80 – 98 В воздуховоде (6 — 8 м от ввода) Прямой акустический 87 – 95 На трубопроводе (через этаж) Виброакустический 95 – 97
Поконструкции помещения, можно сделать вывод, что через монолитные бетонные стеныинформацию считать невозможно. Но стеновые перегородки, межкомнатные двери,системы отопления, пожаротушения и система вентиляции подлежат блокированию.Так же информацию можно считать через канал радиовещания, телефонную линию,электрическую розетку. Через окна можно снять информацию электроннымстетоскопом./>4.3.3Меры по блокированию ТКУИ
Сущность защитных мероприятий сводится кперекрытию возможных каналов утечки защищаемой информации, которые появляются всилу объективно складывающихся условий ее распространения и возникающей уконкурентов заинтересованности в ее получении. Каналы утечки информациидостаточно многочисленны. Они могут быть как естественными, так иискусственными, т.е. созданными с помощью технических средств./> 4.3.3.1 Средства и системы защиты
Возможные каналы утечки информации Рассмотрим возможные каналыутечки информации и несанкционированного доступа к ресурсам, которые могут бытьиспользованы противником в данном помещении, а также возможную защиту от них.Анализ представленных материалов показывает, что в настоящее время номенклатуратехнических средств коммерческой разведки весьма обширна, что делает задачунадежного блокирования каналов утечки и несанкционированного доступа кинформации исключительно сложной. Решение подобной задачивозможно только с использованием профессиональных технических средств и спривлечением квалифицированных специалистов. (табл.4)
/>
Таблица№3 Основные методы и средства несанкционированногополучения информации и возможная защита от них.
N п/п
Действие человека (типовая ситуация)
Каналы утечки информации
Методы и средства получения информации
Методы и средства защиты информации 1 Разговор в помещении
· Акустика
· Виброакустика
· Гидроакустика
· Акустоэлектроника
· Подслушивание, диктофон, микрофон, направленный микрофон, полуактивная система
· Стетоскоп, вибродатчик
· Гидроакустический датчик
· Радиотехнические спецприемники Шумовые генераторы, поиск закладок, защитные фильтры, ограничение доступа 2 Разговор по проводному телефону
· Акустика
· Электросигнал в линии
· Наводки
· Аналогично п.1
Параллельный телефон, прямое подключение, электромагнитный датчик, диктофон, телефонная закладка
· Аналогично п.1
· Маскирование, скремблирование, шифрование
· Спецтехника 3 Разговор по радиотелефону
· Акустика
· Электромагнитные волны
· Аналогично п.1
· Радиоприемные устройства
· Аналогично п.1
· Аналогично п.2 4 Документ на бумажном носителе Наличие Кража, визуально, копирование, фотографирование Ограничение доступа, спецтехника 5 Изготовление документа на бумажном носителе
· Наличие
· Паразитные сигналы, наводки
· Аналогично п.4
· Специальные радиотехнические устройства
· Аналогично п.1
· Экранирование 6 Почтовое отправление Наличие Кража, прочтение Специальные методы защиты 7 Документ на небумажном носителе Носитель Хищение, копирование, считывание Контроль доступа, физическая защита, криптозащита 8 Изготовление документа на небумажном носителе
· Изображение на дисплее
· Паразитные сигналы, наводки
· Визуально, копирование, фотографирование
· Специальные радиотехнические устройства Контроль доступа, криптозащита 9 Передача документа по каналу связи Электрические и оптические сигналы Несанкционированное подключение, имитация зарегистрированного пользователя Криптозащита 10 Производственный процесс Отходы, излучения и т.п. Спецаппаратура различноного назначения, оперативные мероприятия Оргтехмероприятия, физическая защита
Такимобразом, основным направлением противодействия утечке информации являетсяобеспечение физической(технические средства, линии связи, персонал) и логической(операционная система, прикладные программы и данные) защиты информационныхресурсов. При этом безопасность достигается комплексным применением аппаратных,программных и криптографических методов и средств защиты, а такжеорганизационных мероприятий. /> 4.4 Комплексная системазащиты информации объекта защиты
Комплекснаясистема защиты информации объекта защиты состоит:
1)Блокирование технических каналов утечки информации;
2) Исключениевнешних и внутренних угроз;
3)Дополнительные меры.
Основными причинами утечки информации являются:
• несоблюдение персоналом норм, требований,правил эксплуатации АС;
• ошибки в проектировании АС и систем защиты АС;
• ведение противостоящей стороной технической и агентурнойразведок.
Несоблюдение персоналом норм, требований, правилэксплуатации АС может быть как умышленным, так и непреднамеренным. От веденияпротивостоящей стороной агентурной разведки этот случай отличает то, что вданном случае лицом, совершающим несанкционированные действия, двигают личныепобудительные мотивы. Причины утечки информации достаточно тесно связаны свидами утечки информации.
В соответствии с ГОСТ Р 50922-96 рассматриваютсятри вида утечки информации:
• разглашение;
• несанкционированный доступ к информации;
• получение защищаемой информации разведками (какотечественными, так и иностранными)./> 4.1.1 Политика безопасности объекта защиты
Политикабезопасности – это, в первую очередь, обеспечение информационной безопасности,которая включает в себя защиту от воздействия внешних и внутренних угроз.
Для защитыперсональных данных по виброакустическому каналу утечки информации используемследующие действительные меры.
Вибрационные
Перехват акустическихсигналов
* электроннымистетоскопами
* стетоскопам и,комплексированными с устройствами передачи информации по радиоканалу
* стетоскопами,комплексированными с устройствами передачи информации по оптическому каналу вИК-диапазоне длин волн
* стетоскопами 2 комплексированными сустройствами передачи информации по трубам водоснабжения, отопления,металлоконструкциям и т.п./> 4.1.1.1 Решение по технической защите информации
Утечкаинформации по вибро-акустическим каналам может произойти при проведениисовещаний и переговоров в помещении для селекторного слушания. Чтобы этогоизбежать, примем следующие меры:
1. Передначалом совещания нужно проверить помещение портативным многофункциональнымприбором СРМ-700 или спектральным кореллятором OSCOR OSC-5000.2.Использовать приборы виброакустической защиты SI-3001 для исключения утечкичерез окна, две стеновые перегородки, а так же через двери и другие опасныезоны.
3. Передначалом совещания нужно снять со стен зеркала, картины, планшеты и т.п.
4. Вбатареи желательно вставить резиновые прокладки между комнатами.
5.Перед началом совещания в помещении для переговоров также необходимо потребоватьоставить в своих рабочих кабинетах все сотовые и радиотелефоны./> 4.1.2 Вывод об адекватности принятых мер
Какправило, у потребителя, столкнувшегося с задачей реализации виброакустическойзащиты информации, возникает проблема выбора системы для ее обеспечения. Приэтом большинство покупателей руководствуется следующими критериями: низкаяцена, минимальные габариты и количество вибропреобразователей, подключаемых кгенератору. К сожалению, при подобном подходе не всегда удается построитьвысококачественную систему защиты. Эффективность любой системывиброакустического зашумления обычно зависит от следующих основных параметров:
· коэффициентполезного действия (КПД) вибропреобразователей;
· возможностьрегулировки спектра помехового сигнала в октавных полосах;
· наличиесистемы контроля эффективности работы.
Такимобразом, итоговый уровень паразитных акустических помех во многом зависит отправильности настройки (регулировки) системы наряду с ее правильно выбраннойконфигурацией. Контроль эффективности работы позволяет осуществлять наблюдениеза выполнением норм по защите помещения при работе приборов виброакустическогозашумления. Это обеспечивается установкой разветвленной системы измеренияуровня сигнала на ограждающих конструкциях. Использование данных системгарантирует решение следующих задач:
· контрольработоспособности преобразователей и системы в целом;
· контрольвыполнения требований по защите помещений.
Еслипервая задача не предполагает серьезных требований к системе контроля и нарынке уже представлены приборы, в которых она нашла реализацию, то для решениявторой задачи необходимо применение точных измерительных устройств (шумомеров)0-1 класса точности, что значительно повышает стоимость системы. Рассмотревосновные особенности систем виброакустического зашумления, следует отметить иих дополнительных функций, к которым относятся:
· активациясистемы по голосу (по наличию сигнала);
· модульнаяреализация системы.
5.Результаты курсовой работы
Результатом курсовой работыявляется законченное решение по защите информации обрабатываемой на объектезащиты включающее в себя:
- Планобъекта защиты включая взаимное расположение соседних помещений и (или) зданий(чертеж);
- Переченьинформации ограниченного доступа;
- Переченьугроз информации ограниченного доступа;
- Должностныеинструкции работников по обработке информации с ограниченным доступом;
- Матрицадоступа;
- Планобъекта защиты с определенными разведопасными направлениями (чертеж);
- Переченьсредств и систем используемых для защиты информации;
- Политикабезопасности./>
Заключение
В данной курсовой работе рассмотрена комплексная система защитыинформационных ресурсов объекта – помещения для презентаций и совещанийответственных лиц регионального отдела. Изложены основные сведения, которыетребуются для организации такой защиты. Среди них и теоретическая база, ипрактические решения информационной безопасности такие как: выявление каналовутечки информации и их защита, способов несанкционированного доступа и ихпредотвращение, модели угроз и приемы их реализации.
Способы защиты информационных ресурсов должны представлять собойцелостный комплекс защитных мероприятий, которые должны быть тщательноспланированы. Главной целью злоумышленника является получение информации осоставе, состоянии и деятельности объекта конфиденциальных интересов (фирмы,изделия, проекта, рецепта, технологии и т.д.) в целях удовлетворения своихинформационных потребностей. Возможно в корыстных целях и внесение определенныхизменений в состав информации, циркулирующей на объекте конфиденциальныхинтересов. Более опасной целью является уничтожение накопленных информационныхмассивов в документальной или магнитной форме и программных продуктов. Полныйобъем сведений о деятельности конкурента не может быть получен толькокаким-нибудь одним из возможных способов доступа к информации.
Главной целью данной курсовой работы была разработка комплекснойсистемы защиты информации через виброакуститеские каналы утечки информации, этаработа выполнена.
/>Список литературы
1. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А.,Петров Ю.А. Информационная безопасность государственных организаций икоммерческих фирм. Справочное пособие (под общей редакцией Реймана Л.Д.) М.:НТЦ «ФИОРД-ИНФО», 2002г.-272с.
2. Петраков А.В. Основы практической защиты информации. 3-е изд.Учебное пособие-М.: Радио и связь, 2001г.-368с.
3. Программно-аппаратныесредства обеспечения информационной безопасности. Защита программ и данных/П.Ю.Белкин, О.О.Михальский, А.С. Першаков и др.- М.: Радио и связь, 1999.
4. ХисамовФ.Г. Макаров Ю.П. Оптимизация аппаратных средств криптографической защитыинформации //Системы безопасности. -2004. – февраль-март №1 (55). –стр.108.
5. WEB-сайт www.razvedka.ru
6. www.confident.ru