Дипломная работа: Проект защиты информации с разработкой системы видеонаблюдения
Вторым
рубежом охранной сигнализации защищаются объемы помещений на
"проникновение" с помощью объемных извещателей различного принципа
действия.
В
помещениях больших размеров со сложной конфигурацией, требующих применение
большого количества извещателей для защиты всего объема, допускается
блокировать только локальные зоны (тамбуры между дверьми, коридоры, подходы к
ценностям и другие уязвимые места)
Третьим
рубежом охранной сигнализации в помещениях блокируются отдельные предметы,
сейфы, металлические шкафы, в которых сосредоточены ценности.
Устанавливаемые
в зданиях технические средства охраны должны вписываться в интерьер помещения и
по возможности устанавливаться скрыто или маскироваться.
В
разных рубежах необходимо применять охранные извещатели, работающие на
различных физических принципах действия.
Основные
типы извещателей, обеспечивающие защиту помещений объекта и его конструкций от
предполагаемого (возможного) способа криминального воздействия, приведены в приложении
11.
Количество
шлейфов охранной сигнализации должно определяться тактикой охраны, размерами
зданий, строений, сооружений, этажностью, количеством уязвимых мест, а также
точностью локализации места проникновения для оперативного реагирования на сигналы
тревоги.
Периметр
охраняемого здания, как правило, следует разделять на охраняемые зоны (фасад,
тыл, боковые стороны здания, центральный вход и другие участки) с выделением их
в самостоятельные шлейфы сигнализации и выдачей раздельных сигналов на ППК или
внутренний пульт охраны объекта.
Для
усиления охраны и повышения ее надежности на объектах следует устанавливать
дополнительные извещатели - ловушки. Сигналы ловушек выводятся по
самостоятельным или, при отсутствии технической возможности, по имеющимся
шлейфам охранной сигнализации.
Каждое
помещение подгрупп AI и AII должно оборудоваться самостоятельными шлейфами
охранной сигнализации. Помещения подгрупп БI и БII, закрепленные за одним
материально ответственным лицом, собственником или объединяемые по каким-либо
другим признакам также должны оборудоваться самостоятельными шлейфами охранной
сигнализации, причем, для удобства эксплуатации, одним шлейфом следует
блокировать не более пяти соседних помещений, расположенных на одном этаже.
В
помещениях, где круглосуточно должен находиться персонал, охранной
сигнализацией должны оборудоваться отдельные участки периметра помещения, а
также сейфы и металлические шкафы для хранения ценностей и документов.
3.)
Защита персонала и посетителей объекта
Для оперативной передачи сообщений на ПЦО и/или в дежурную часть органов
внутренних дел о противоправных действиях в отношении персонала или посетителей
(например, разбойных нападениях, хулиганских действиях, угрозах) объект должен
оборудоваться устройствами тревожной сигнализации (ТС): механическими кнопками,
радиокнопками, радиобрелоками, педалями, оптико-электронными извещателями и
другими устройствами.
Система
тревожной сигнализации организуется "без права отключения".
Устройства
ТС на объекте должны устанавливаться:
в хранилищах, кладовых, сейфовых
комнатах;
в помещениях хранения оружия и
боеприпасов;
на рабочих местах кассиров;
на рабочих местах персонала,
производящего операции с наркотическими средствами и психотропными веществами;
в кабинетах руководства организации и главного бухгалтера;
у центрального входа и запасных выходах
в здание;
на постах и в помещениях охраны,
расположенных в здании, строении, сооружении и на охраняемой территории;
в коридорах, у дверей и проемов, через
которые производится перемещение ценностей;
на охраняемой территории у центрального
входа (въезда) и запасных выходах (выездах);
в других местах по требованию
руководителя (собственника) объекта или по рекомендации сотрудника
вневедомственной охраны.
Ручные
и ножные устройства ТС должны размещаться в местах, по возможности незаметных
для посетителей. Руководители, ответственные лица, собственники объекта
совместно с представителем подразделения вневедомственной охраны определяют
места скрытой установки кнопок или педалей тревожной сигнализации на рабочих
местах сотрудников.
Руководство
объекта, сотрудников службы безопасности и охраны следует оснащать мобильными
устройствами ТС, работающими по радиоканалу (радиокнопками или радиобрелоками).
Места
хранения денежных средств, драгоценных металлов, камней и изделий из них (столы
операционно-кассовых работников, металлические шкафы или сейфы, кассовые
аппараты, витрины, лотки, торговые прилавки), кроме того, должны быть
оборудованы специальными техническими средствами (ловушками), формирующими
сигналы тревоги без участия персонала при попытках нарушителя завладеть
ценностями. Указанные технические средства должны включаться в шлейфы тревожной
сигнализации объекта.
4.)
Организация передачи информации о срабатывании сигнализации
Передача извещений о срабатывании охранной сигнализации с объекта на ПЦО может
осуществляться с ППК малой емкости, внутреннего пульта охраны или устройств
оконечных СПИ.
Количество
рубежей охранной сигнализации, выводимых на ПЦО отдельными номерами,
определяется совместным решением руководства объекта и подразделения
вневедомственной охраны исходя из категории объекта, анализа риска и
потенциальных угроз объекту, возможностей интеграции и документирования ППК
(внутренним пультом охраны или устройством оконечным) поступающей информации, а
также порядком организации дежурства персонала охраны на объекте.
Минимально
необходимое количество рубежей охранной сигнализации, выводимых на ПЦО со всего
охраняемого объекта должно быть, для подгруппы.
БI -
один объединенный рубеж (первый - периметр);
AI,
БII - два объединенных рубежа (первый - периметр и второй - объем).
Кроме
того, при наличии на объекте специальных помещений (подгруппа АII, сейфовые,
оружейные комнаты и другие помещения, требующие повышенных мер защиты) выводу
на ПЦО подлежат также и рубежи охранной сигнализации этих помещений.
При
наличии на объекте пульта внутреннего охраны с круглосуточным дежурством
собственной службы безопасности или частного охранного предприятия, на ПЦО
выводятся:
один
общий сигнал, объединяющий все рубежи охранной сигнализации объекта за
исключением рубежей специальных помещений объекта;
рубежи
охранной сигнализации (периметр и объем) специальных помещений.
При
этом должна быть обеспечена регистрация всей поступающей информации каждого
рубежа охраны помещений на внутреннем пульте охраны.
При
наличии на объекте пульта внутреннего охраны с круглосуточным дежурством
сотрудников вневедомственной охраны (Микро-ПЦО), все рубежи охранной
сигнализации всех помещений объекта (включая и специальные помещения)
подключаются на пульт внутренней охраны, обеспечивающий автоматическую
регистрацию всей поступающей информации, а с него выводится один общий сигнал
на ПЦО.
На
объектах, где охраняются только специальные помещения, выводу на ПЦО подлежат
все рубежи охранной сигнализации этих помещений.
При
охране только отдельных устройств (банкоматы, игровые автоматы,
распределительные шкафы и другие аналогичные устройства) на ПЦО выводится один
рубеж охранной сигнализации (блокировка на "разрушение" и
"вскрытие").
Рубежи
охранной сигнализации должны выводиться на ПЦО с пульта внутренней охраны, ППК
или устройства оконечного, обеспечивающих запоминание тревожного состояния и
его фиксацию на выносном световом (звуковом) оповещателе или индикаторе.
Для
объектов жилого сектора допускается применение устройств оконечных и блоков
объектовых без соответствующего запоминания тревожного состояния и его
фиксации.
Извещения
от шлейфов тревожной сигнализации одним объединенным сигналом выводятся на ПЦО
и/или в дежурную часть органов внутренних дел непосредственно или через ППК,
оконечное устройство СПИ, пульт внутренней охраны.
Извещения
охранной и тревожной сигнализации могут передаваться на ПЦО по специально
прокладываемым линиям связи, свободным или переключаемым на период охраны
телефонным линиям, радиоканалу, занятым телефонным линиям с помощью аппаратуры
уплотнения или информаторных СПИ посредством коммутируемого телефонного
соединения (метод "автодозвона") с обязательным контролем канала между
охраняемым объектом и ПЦО.
С
охраняемых объектов "автодозвон" должен осуществляться по двум и
более телефонным номерам.
Для
исключения доступа посторонних лиц к извещателям, ППК, разветвительным
коробкам, другой установленной на объекте аппаратуры охраны должны приниматься
меры по их маскировке и скрытой установке. Крышки клеммных колодок данных
устройств должны быть опломбированы (опечатаны) электромонтером ОПС или
инженерно-техническим работником подразделения вневедомственной охраны с
указанием фамилии и даты в технической документации объекта.
Распределительные
шкафы, предназначенные для кроссировки шлейфов сигнализации, должны закрываться
на замок, быть опломбированы и иметь блокировочные (антисаботажные) кнопки,
подключенные на отдельные номера пульта внутренней охраны "без права
отключения", а при отсутствии пульта внутренней охраны - на ПЦО в составе
тревожной сигнализации.
При
разработке проекта пожарной сигнализации необходимо учитывать требования НПБ
88-2001 – «Нормы и правила проектирования
установок пожаротушения и сигнализации».
Здание
ЗАО «ЧОП «ОСА»»» относится к административным сооружениям, поэтому
его помещения при применении автоматической пожарной сигнализации, следует
оборудовать дымовыми пожарными извещателями.
Дымовой
пожарный извещатель – пожарный извещатель, реагирующий на частицы
твердых или жидких продуктов горения и (или) пиролиза в атмосфере [3].
В
каждом защищаемом помещении следует устанавливать не менее двух пожарных
извещателей, так как высота помещений объекта не превышает 3,5 м, максимальное расстояние между извещателями составляет не более 9 м, расстояние от датчика до стены не более 4,5 м.
Дымовые
пожарные извещатели рекомендуется применять для оперативного, локального
оповещения и определения места пожара в помещениях, в которых одновременно
выполняются следующие условия:
основным фактором
возникновения очага загорания в начальной стадии является появление дыма;
в защищаемых
помещениях возможно присутствие людей.
Такие
извещатели должны включаться в единую систему пожарной сигнализации с выводом
тревожных извещений на прибор приемно-контрольный пожарный, расположенный в
помещении дежурного персонала. Прибор приемно-контрольный пожарный – это
устройство, предназначенное для приема сигналов от пожарных извещателей,
обеспечения электропитанием активных пожарных извещателей, выдачи информации на
световые, звуковые оповещатели и пульты централизованного наблюдения, а также
формирования стартового импульса запуска прибора пожарного управления.
Ручной
пожарный извещатель – устройство, предназначенное для ручного включения
сигнала пожарной тревоги в системах пожарной сигнализации и пожаротушения [4].
Ручные пожарные извещатели следует
устанавливать на стенах и конструкциях на высоте 1,5 м от уровня земли или пола в коридорах, холлах, вестибюлях, на лестничных площадках, у выходов из
здания.
Но
эффективная система пожарной сигнализации должна обязательно включать в себя
систему оповещения людей о пожаре.
Система
оповещения и управления эвакуацией (СОУЭ) – комплекс организационных мероприятий и технических
средств, предназначенный для своевременного сообщения людям информации о
возникновении пожара и (или) необходимости и путях эвакуации. СОУЭ должна
функционировать в течение времени, необходимого для завершения эвакуации людей
из здания.
Здание
рассматриваемого объекта относится ко второму типу СОУЭ, следовательно, оно
должно оборудоваться световыми оповещателями «Выход» и звуковыми оповещателями
(сиреной или тонированным сигналом).
Для
обеспечения четкой слышимости звуковые сигналы СОУЭ должны обеспечивать уровень
звука не менее чем на 15 дБ выше допустимого уровня звука постоянного шума в
защищаемом помещении.
На
внешней стене здания перед входом следует расположить комбинированный,
светозвуковой оповещатель.
1.3.3
Требования нормативно-методических документов по защите информации на объект
Основным
законом Российской Федерации является Конституция, принятая 12 декабря 1993
года.
Статья
23 Конституции гарантирует право на личную и семейную тайну,
на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных
сообщений
Статья
29 - право свободно искать, получать, передавать, производить и распространять
информацию любым законным способом. Современная интерпретация этих положений
включает обеспечение конфиденциальности данных, в том числе в процессе их
передачи по компьютерным сетям, а также доступ к средствам
защиты информации.
В
Гражданском кодексе Российской Федерации фигурируют такие понятия, как банковская, коммерческая и служебная тайна.
Статье
139, информация составляет служебную или коммерческую тайну в случае, когда
информация имеет действительную или потенциальную коммерческую ценность в силу
неизвестности ее третьим лицам, к ней нет свободного доступа на законном
основании, и обладатель информации принимает меры к охране ее
конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах
ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.
Современный
в плане информационной безопасности является Уголовный кодекс Российской
Федерации (редакция от 14 марта 2002 года).
Глава
28 - "Преступления в сфере компьютерной информации" - содержит три
статьи:
статья 272.
Неправомерный доступ к компьютерной информации. (имеет дело с посягательствами
на конфиденциальность)
статья 273.
Создание, использование и распространение вредоносных программ для ЭВМ. (имеет
дело с вредоносным ПО)
статья 274.
Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. (имеет дело с
нарушениями доступности и целостности, повлекшими за собой уничтожение,
блокирование или модификацию охраняемой законом информации ЭВМ)
Включение
в сферу действия УК РФ вопросов доступности информационных сервисов представляется
нам очень своевременным.
Статья
138 УК РФ, защищая конфиденциальность персональных данных, предусматривает
наказание за нарушение тайны переписки, телефонных переговоров, почтовых,
телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой
тайны играет статья 183 УК РФ.
Интересы
государства в плане обеспечения конфиденциальности информации нашли наиболее
полное выражение в Законе "О государственной тайне" (с изменениями и
дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые
государством сведения в области его военной, внешнеполитической, экономической,
разведывательной, контрразведывательной и оперативно-розыскной деятельности,
распространение которых может нанести ущерб безопасности Российской Федерации. Там
же дается определение средств защиты информации. Согласно данному Закону, это
технические, криптографические, программные и другие средства, предназначенные
для защиты сведений, составляющих государственную тайну;
средства, в которых они реализованы, а также средства контроля эффективности
защиты информации. Подчеркнем важность последней части определения.
Закон "Об
информации, информационных технологиях и защите информации"
Основополагающим
среди российских законов, посвященных вопросам информационной безопасности,
следует считать закон "Об информации, информатизации и защите
информации" от 27 июля 2006 года номер 149-ФЗ (принят Государственной
Думой 8 июля 2006 года, одобрен советом федерации 14 июля 2006 года). В нем
даются основные определения и намечаются направления развития законодательства
в данной области.
Некоторые
из этих определений:
информация
- сведения о лицах, предметах, фактах, событиях, явлениях и процессах
независимо от формы их представления;
документированная информация (документ) - зафиксированная на материальном
носителе информация с реквизитами, позволяющими ее идентифицировать;
информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и
распространения информации;
информационная система - организационно упорядоченная совокупность документов
(массивов документов) и информационных технологий, в том числе с использованием
средств вычислительной техники и связи, реализующих информационные процессы;
информационные ресурсы - отдельные документы и отдельные массивы документов,
документы и массивы документов в информационных системах (библиотеках, архивах,
фондах, банках данных, других информационных системах);
информация о гражданах (персональные данные) - сведения о фактах, событиях и
обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;
конфиденциальная информация - документированная информация, доступ к которой
ограничивается в соответствии с законодательством Российской Федерации;
пользователь (потребитель) информации - субъект, обращающийся к
информационной системе или посреднику за получением необходимой ему информации
и пользующийся ею.
Закон
выделяет следующие цели защиты информации:
предотвращение
утечки, хищения, утраты, искажения, подделки информации;
предотвращение
угроз безопасности личности, общества, государства;
предотвращение
несанкционированных действий по уничтожению, модификации, искажению,
копированию, блокированию информации;
предотвращение
других форм незаконного вмешательства в информационные ресурсы и информационные
системы, обеспечение правового режима документированной информации как объекта
собственности;
защита
конституционных прав граждан на сохранение личной тайны и конфиденциальности
персональных данных, имеющихся в информационных системах;
сохранение
государственной тайны, конфиденциальности документированной информации в
соответствии с законодательством;
обеспечение прав
субъектов в информационных процессах и при разработке, производстве и
применении информационных систем, технологий и средств их обеспечения.
ГЛАВА
2. РАЗРАБОТКАПРОЕКТА КОМПЛЕКСНОЙ СИСТЕМЫ БЕЗОПАСНОСТИ ОБЪЕКТА ЗАЩИТЫ
2.1
Технические каналы утечки информации
2.1.1
Классификация технических каналов утечки
Прежде
всего, при разработке комплексной системы защиты информации следует определить
каналы утечки информации.
Под
каналом утечки информации понимают канал коммуникации, позволяющий процессу
передавать информацию путем, нарушающим безопасность системы. По физической
природе носителя различают следующие каналы утечки информации:
-
оптический;
-
радиоэлектронный;
-
акустический;
-
материально-вещественный.
Оптические каналы — это, как правило, непосредственное или
удаленное (в том числе и телевизионное) наблюдение. Переносчиком информации
выступает свет, испускаемый источником конфиденциальной информации или
отраженный от него в видимом, инфракрасном и ультрафиолетовом диапазонах.
Классификация визуально-оптических каналов утечки информации:
1)
По природе
образования
За счёт отражения сетевой энергии
За счёт собственного излучения объектов
2)
По диапозону
излучения
Видимая область
ИК-область
УФ область
3)
По среде
расспостранения
Свободное пространство
Направляющие линии
В радиоэлектронном канале утечки информации в качестве
носителей используются электрические, магнитные и электромагнитные поля в
радиодиапазоне, а также электрический ток (поток электронов),
распространяющийся по металлическим проводам.
Классификация радиоэлектронных каналов утечки информации:
1)
По природе
образования
Акустопреобразовательные
Электромагнитные излучения
Паразитные связи и наводки
2)
По диапазону
излучения
Сверхдлинные волны
Длинные волны
Среднии волны
Короткие волны
УКВ
3)
По среде
расспостранения
Безвоздушное пространство
Воздушное пространство
Земная среда
Водная среда
Направляющие системы
В акустическом канале носителями информации являются
механические упругие акустические волны в инфразвуковом (менее 16 Гц), звуковом
(16 Гц-20 Гц) и ультразвуковом (свыше 20 Гц) диапазонах частот,
распространяющиеся в атмосфере, воде и твердой среде.
Когда в воздухе распространяется акустическая волна, частицы
воздуха приобретают колебательные движения, передавая колебательную энергию
друг другу. Если на пути звука нет препятствия, он распространяется равномерно
во все стороны. Если же на пути звуковой волны возникают какие-либо препятствия
в виде перегородок, стен, окон, дверей, потолков и т. п., звуковые волны
оказывают на них соответствующее давление, приводя их также в колебательный
режим. Эти воздействия звуковых волн и являются одной из основных причин
образования акустического канала утечки информации.
Различают определенные особенности распространения звуковых
волн в зависимости от среды. Это прямое распространение звука в воздушном
пространстве, распространение звука в жестких средах (структурный звук). Кроме
того, воздействие звукового давления на элементы конструкции зданий и помещений
вызывает их вибрацию.
В свободном воздушном пространстве акустические каналы
образуются в помещениях при ведении переговоров в случае открытых дверей, окон,
форточек. Кроме того, такие каналы образуются системой воздушной вентиляции
помещений. В этом случае образование каналов существенно зависит от
геометрических размеров и формы воздуховодов, акустических характеристик
фасонных элементов задвижек, воздухораспределителей и подобных элементов.
Под структурным звуком понимают механические колебания в
твердых средах. Механические колебания стен, перекрытий или трубопроводов,
возникающие в одном месте, передаются на значительные расстояния, почти не
затухая. Опасность такого канала утечки состоит в неконтролируемой дальности
распространения звука.
Преобразовательный, а точнее, акусто-преобразовательный канал
это изменение тех или иных сигналов электронных схем под воздействием
акустических полей. На практике такое явление принято называть микрофонным
эффектом.
В материально-вещественном канале утечка информации
производится путем несанкционированного распространения за пределы организации
вещественных носителей с защищаемой информации, прежде всего, выбрасываемых
черновиков документов и использование копировальной бумаги, забракованных
деталей и узлов, демаскирующих веществ.
Классификация материально-вещественных каналов утечки
информации
1)
По физическому
состоянию
Твердые массы
Жидкости
Газообразные вещества
2)
По физической
природе
Химические
Биологические
Радиоактивные
3)
По среде
расспостранения
В земле
В воде
В воздухе
Очевидно,
что каждый источник конфиденциальной информации может обладать в той или иной
степени какой-то совокупностью каналов утечки информации.
2.1.2
Технические каналы утечки информации обрабатываемой на объекте защиты
В основе утечки лежит неконтролируемый перенос
конфиденциальной информации посредством акустических, световых,
электромагнитных, радиационных и других полей и материальных объектов.
Причины утечки связаны, как правило, с несовершенством норм
по сохранению информации, а также нарушением этих норм (в том числе и
несовершенных), отступлением от правил обращения с соответствующими
документами, техническими средствами, образцами продукции и другими
материалами, содержащими конфиденциальную информацию.
Условия включают различные факторы и обстоятельства, которые
складываются в процессе научной, производственной, рекламной, издательской,
отчетной, информационной и иной деятельности предприятия (организации) и
создают предпосылки для утечки информации. К таким факторам и обстоятельствам
могут, например, относиться:
-
недостаточное
знание работниками предприятия правил защиты информации и непонимание (или
недопонимание) необходимости их тщательного соблюдения;
-
использование
неаттестованных технических средств обработки конфиденциальной информации;
-
слабый контроль
за соблюдением правил защиты информации правовыми, организационными и
инженерно-техническими мерами;
-
текучесть кадров,
в том числе владеющих сведениями конфиденциального характера.
Таким образом, большая часть причин и условий, создающих
предпосылки и возможность утечки конфиденциальной информации, возникает из-за
недоработок руководителей предприятий и их сотрудников.
Кроме того, утечке информации способствуют:
-
стихийные
бедствия (шторм, ураган, смерч, землетрясение, наводнение);
-
неблагоприятная
внешняя среда (гроза, дождь, снег);
-
катастрофы
(пожар, взрывы);
-
неисправности,
отказы, аварии технических средств и оборудования.
Известно, что информация вообще передается полем или
веществом. Это либо акустическая волна (звук), либо электромагнитное излучение,
либо лист бумаги с текстом. Но, ни переданная энергия, ни посланное вещество
сами по себе никакого значения не имеют, они служат лишь носителями информации.
Человек не рассматривается как носитель информации. Он выступает субъектом
отношений или источником.
Изучив особенности расположения
объекта и близлежащих зданий, можно представить возможные каналы утечки
информации в виде таблицы 1.
Таблица
1
Классификация возможных каналов
утечки информации
Каналы утечки
информации с объекта защиты |
|
1
|
2
|
3
|
4
|
1 |
Оптический канал |
Окно помещения |
Выделенное помещение |
2 |
Радиоэлектронный канал |
ПЭВМ |
ОТСС |
СИРД |
Телефон ГАТС |
ВТСС |
Телефон ВАТС |
Система ОПС |
Система
энергоснабжения и розетки |
Выделенное помещение |
3 |
Акустический канал |
Теплопровод подземный |
Водопровод подземный |
|
|
Стены помещения |
|
Система центрального
отопления |
Вентиляция |
4 |
Материально-вещественный
канал |
Документы на бумажных
носителях |
Персонал предприятия |
Для исключения угроз утечки
информации по техническим каналам следует внедрить систему комплексной защиты
информации на ООО ЧОП «ОСА».
2.2
Вероятная модель злоумышленника
Фирмы,
предоставляющие другим организациям услуги охраны собственности, берут на себя
огромную ответственность. А именно частное охранное предприятие берет на себя
материальную ответственность перед теми фирмами, которые являются его
клиентами. Утечка информации из частного охранного предприятия может нанести
серьезный урон не только ему, но и клиентам.
Потенциальными
злоумышленниками могут быть и конкуренты, и недобросовестные клиенты, и
сотрудники фирмы.
Если
угроза будет исходить от лиц, не работающих в данной организации, то
возможность проникновения в выделенное помещение исключается, во-первых, на
первом этаже расположен пост охраны, во-вторых, в приемной перед кабинетом
директора находится приемная, в которой постоянно находится секретарь. К тому
же проникновение в выделенное помещение будет контролироваться средствами
охраны.
Нередко
для достижения своих целей заинтересованные лица прибегают к помощи
сотрудников, работающих на предприятии, ведь они знают систему организации
изнутри. Для этого злоумышленники чаще всего используют подкуп и убеждение,
известны так же случаи запугивания сотрудников.
Для
исключения возможности несанкционированного доступа к данным сотрудниками
организации на двери выделенного помещения установлен электронный считыватель.
Модель
проникновения вероятного злоумышленника в выделенное помещение представлена в
приложении 4.
Таким
образом, при построении системы защиты следует учитывать, что основную часть
нарушителей (около 70 %) будут составлять сотрудники фирмы, но необходимо также
исключить проникновение посторонних лиц в контролируемую зону.
2.3
Разработка проекта комплексной системы защиты информации частного охранного
предприятия ООО «ОСА»
Комплексная система защиты информации
включает в себя следующие основные элементы:
правовую защиту
информации;
организационную
защиту информации;
инженерно-техническую
защиту информации;
программно-аппаратную
защиту информации;
криптографическую
защиту информации.
Разработка
комплексной системы защиты информации подразумевает тщательную отработку
каждого элемента.
Правовые меры защиты информации
обладают рядом признаков, которые отличают их от прочих видов защиты данных. С
одной стороны, юридические меры выполняют охранительную функцию. Они формируют
отношение субъектов оборота информации к нормам и правилам Закона. С другой
стороны – компенсационная функция: в случае нанесения вреда законному владельцу
информации Закон привлекает нарушителя к ответственности и обязывает его
возместить причиненный ущерб.
К
правовой защите информации на объекте относится:
Установленный
перечень сведений, составляющих конфиденциальную информацию;
Инструкции по
работе с документами, содержащими конфиденциальную информацию;
Трудовые договора
с каждым сотрудником, в которых отдельным пунктом прописаны условия работы с
конфиденциальной информацией и ответственность за ее разглашение.
Также с сотрудниками, непосредственно
работающими с конфиденциальной информацией, заключается типовой договор, в
котором оговорены все аспекты и особенности работы с конфиденциальной
информацией.
Организационный
элемент системы защиту информации содержит меры управленческого,
ограничительного (режимного) и технологического характера. Данные меры должны
побуждать персонал соблюдать правила защиты информации на объекте. Эти меры
определяют:
Ведение всех
видов аналитических работ;
Формирование и
организацию деятельности службы безопасности, службы конфиденциальной
информации, обеспечение деятельности этих служб нормативно-методической
документацией;
Организацию,
составление и регулярное обновление состава защищаемой банком информации.
Составление и ведение перечня защищаемых бумажных и электронных документов;
Формирование
разрешительной системы разграничения доступа персонала к конфиденциальной
информации;
Методы отбора
персонала для работы с конфиденциальной документацией, методику обучения и
инструктирования работников;
Контроль
соблюдения работниками порядка защиты информации;
Технологию
защиты, обработки и хранения бумажных и электронных документов;
Регламентацию не
машинной технологии защиты электронных документов;
Порядок защиты
ценной информации от случайных или умышленных несанкционированных действий
персонала;
Порядок защиты
информации при проведении совещаний, заседаний, переговоров, приеме
посетителей, работе и представителями СМИ;
Оборудование и
аттестацию помещений и рабочих зон, выделенных для работы с конфиденциальной
информацией;
Регламентацию
пропускного режима на территории, в здании, помещениях, идентификации
транспорта и персонала фирмы;
Организацию
системы охраны территории;
Регламентацию
действий персонала в экстренных ситуациях;
Регламентацию
работы по управлению системой защиты информации.
Элемент
организационной защиты является стержнем, основной частью рассматриваемой
комплексной системы защиты. Меры по организационной защите информации
составляют 50-60 % в структуре большинства систем защиты информации.
Автоматизированная
система объекта относится к классу защищенности 1Г. Для обеспечения программно-аппаратной
защиты в банке используется система «Secret Net».
Основные
возможности комплекса «Secret Net»:
Поддержка
автоматической смены пароля пользователя по истечении заданного интервала
времени;
Разграничение доступа
пользователей к ресурсам компьютера с помощью механизмов дискретного и
мандатного управления доступом;
Создание для
любого пользователя ограниченной замкнутой среды программного обеспечения
(списка разрешенных для запуска программ;
Управление временем
работы всех пользователей;
Регистрация
действий пользователя в системном журнале;
Защита компьютера
от проникновения и размножения вредоносных программ;
Контроль
целостности средств защиты, среды выполнения программ и самих прикладных
программ;
Централизованный
мониторинг состояния безопасности информационной системы и управления защитными
механизмами;
Криптографическая
защита данных.
К
программно-аппаратным средствам защиты информации относится защита ПЭВМ и СИРД
от ПЭМИН.
Побочные
электромагнитные излучения и наводки (ПЭМИН) — это паразитные электромагнитные излучения радиодиапазона,
создаваемые в окружающем пространстве устройствами, специальным образом для
этого не предназначенными.
В
выделенном помещении для исключения ПЭМИН используется генератор шума
ГШ-К-1000М. Он предназначен для защиты информации от утечки, обусловленной
побочными электромагнитными излучениями и наводками ПЭВМ и других средств
обработки информации. Генератор является бескорпусным и устанавливается в PCI
слот системного блока ПЭВМ. Генератор имеет внешнюю гибкую рамочную антенну
диаметром 50 см. Изделие имеет индикацию работоспособности, в случае
неисправности подается звуковой сигнал.
Для
защиты СИРД используется ГШ-1000М. В отличие от модели представленной выше он
имеет корпус и устанавливается непосредственно рядом с СИРД. Его рабочий
диапазон такой же, как и у ГШ-К-1000М и составляет 0,1-1000 МГц. Оба прибора
имеют сертификаты ФСТЭК.
Инженерно-техническая
защита информации – это комплекс мероприятий, направленных на обеспечение
информационной безопасности организации или учреждения.
Инженерно-технический
элемент системы защиты
информации предназначен для пассивного и активного противодействия средствам
технической разведки и формирования рубежей охраны территории, здания,
помещений и оборудования с помощью комплексов технических средств. При защите
информационных систем этот элемент имеет весьма важное значение, хотя стоимость
средств технической защиты и охраны велика. Элемент включает в себя:
-
сооружения
физической (инженерной) защиты от проникновения посторонних лиц на территорию,
в здание и помещения (заборы, решетки, стальные двери, кодовые замки,
идентификаторы, сейфы и др.);
-
средства защиты
помещений от визуальных способов технической разведки;
-
средства
обеспечения охраны территории, здания и помещений (средства наблюдения,
оповещения, сигнализирования, информирования и идентификации);
-
средства
противопожарной охраны;
-
технические
средства контроля, предотвращающие вынос персоналом из помещения специально
маркированных предметов, документов, дискет, книг.
Исходя из перечисленных ранее
возможных каналов утечки информации, необходимо смоделировать способы ее
защиты.
Таблица
2
Модель
защиты информации от утечки по техническим каналам с объекта защиты
№
п\п
|
Место
установки
|
Тип устройства защиты
информации |
Способ применения |
Технический канал
закрытия утечки информации |
1.
|
Окно помещения |
Установка на окна
защитной пленки |
Постоянно |
Оптический |
2.
|
Розетки 220 В
в выделенном помещении
|
Фильтр сетевой
помехоподавляющий ФСП-1Ф-7А |
Постоянно |
Радиоэлектронный |
3.
|
ПЭВМ |
Генератор шума
ГШ-К-1000М |
Постоянно |
Радиоэлектронный |
4.
|
СИРД |
Генератор шума
ГШ-1000М |
Постоянно |
Радиоэлектронный |
5.
|
Линии системы
энергоснабжения |
Генератор шума
SEL SP 41
|
Постоянно |
Радиоэлектронный |
6.
|
Рядом с телефоном |
Многофункциональный
модуль защиты телефоной линии"SEL SP-17/D" |
Постоянно |
Радиоэлектронный |
7.
|
Системы центрального
отопления, стены, подземные водопроводы и теплопроводы |
Виброакустический генератор
Соната АВ 1М
|
Постоянно |
Акустический |
Так как окна выделенного помещения
выходят на стоянку автомобилей, поэтому для исключения утечки информации по
оптическому каналу, на окна устанавливается защитная пленка, которая не только
исключает возможность просмотра происходящего в помещений через окна, но и
поглощает ИК-излучение и является бронированной.
Защита информации от утечки по радиоэлектронному каналу — это
комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого
выхода конфиденциальной информации за пределы контролируемой зоны за счет
электромагнитных полей побочного характера и наводок.
Для линий системы энергоснабжения устанавливается сетевой
фильтр помехоподавляющий ФСП-1Ф-7А.
Защита сети 220 осуществляется устройством защиты цепей
электросети и заземления SEL SP-41. Оно представляет собой генератор
регулируемого шума по электросети и является техническим средством активной
защиты от утечки информации по сети электропитания и подавления устройств
несанкционированного съёма информации, использующих электросеть в качестве
канала передачи. SEL SP-41 имеет сертификат соответствия ФСТЭК № 1445.
Для защиты телефонных линий от абонента до городской
телефонной станции (ГТС) или от мини-АТС до ГТС используется многофункциональный модуль защиты телефонных линий
SEL SP-17/D. При этом обеспечивается: снижение эффективности
(вплоть до полного подавления) гальванически подключенных устройств
несанкционированного съёма информации любого типа, средств магнитной записи и
параллельных телефонных аппаратов, защита от прослушивания помещений через
телефонный аппарат при положенной трубке за счёт использования микрофонного
эффекта и высокочастотного (ВЧ) навязывания, а также контроль состояния
защищаемой телефонной линии. SEL
SP-17/D имеет сертификат соответствия ФСТЭК № 1082.
Защита информации от утечки по акустическому каналу — это
комплекс мероприятий, исключающих или уменьшающих возможность выхода
конфиденциальной информации за пределы контролируемой зоны за счет акустических
полей.
В данной курсовой работе для защиты информации от утечки по
акустическому и виброакустическому каналам используется система защиты помещений по виброакустическому
каналу Соната АВ 1М.
Система имеет сертификат соответствия
ФСТЭК № 1082.
Таким образом, применение данных
средств защиты обеспечит достаточно надежную защиту информации в выделенном
помещении по выявленным нами каналам утечки информации.
Так
же возникает необходимость оборудования помещений ООО ЧОП «ОСА» системой
пожарной сигнализации.
Система
охранно-пожарной сигнализации представляет собой сложный комплекс технических
средств, служащих для своевременного обнаружения возгорания и
несанкционированного проникновения в охраняемую зону. Как правило,
охранно-пожарная сигнализация интегрируется в комплекс, объединяющий системы
безопасности и инженерные системы здания, обеспечивая информацией системы
оповещения, пожаротушения, контроля доступа. Планы охранно-пожарной
сигнализации этажей объекта защиты и выделенного помещения представлены в
приложении 5,6 и 7 соответственно.
Таблица 3
Номенклатура средств системы охранной
и пожарной сигнализации
№
п.п
|
Наименование |
Схемное
обозначение
|
|
|
I. Система охранной сигнализации |
|
1.
|
Извещатель
оптико-электронный объёмный (7 шт.) |
|
|
2.
|
Извещатель
акустический (6 шт.) |
|
|
3.
|
Извещатель
магнитоконтактный ( 7 шт.) |
|
|
4.
|
Пульт управления
программируемый (2 шт.) |
|
|
5.
|
Модуль защиты
телефоной линии"SEL SP-17/D" (1 шт.) |
|
|
6.
|
Генератор шума
ГШ-К-1000М (1 шт.) |
|
|
7.
|
Генератор шума
ГШ-1000М (1 шт.) |
|
|
8.
|
Генератор шума SEL SP
44 (1 шт.) |
|
|
9.
|
Виброакустический
генератор Соната АВ 1М (1 шт.) |
|
|
10. |
Фильтр питания
«ФСП-1Ф-7А» (2 шт.) |
|
|
11. |
Пленка бронированная,
(9 шт.) |
|
|
II. Система пожарной сигнализации
|
|
1. |
Извещатель пожарный дымовой ( 20
шт.) |
|
|
2. |
Оповещатель световой (2
шт.) |
|
|
3. |
Оповещатель речевой,
звуковой (2 шт.) |
|
|
III . Система допуска сотрудников |
|
1. |
Считыватель (2 шт.) |
|
|
|
|
|
|
|
Страницы: 1, 2, 3
|