2.2 Вероятная модель злоумышленника
Фирмы, предоставляющие другим организациям услуги охраны собственности, берут на себя огромную ответственность. А именно частное охранное предприятие берет на себя материальную ответственность перед теми фирмами, которые являются его клиентами. Утечка информации из частного охранного предприятия может нанести серьезный урон не только ему, но и клиентам.
Потенциальными злоумышленниками могут быть и конкуренты, и недобросовестные клиенты, и сотрудники фирмы.
Если угроза будет исходить от лиц, не работающих в данной организации, то возможность проникновения в выделенное помещение исключается, во-первых, на первом этаже расположен пост охраны, во-вторых, в приемной перед кабинетом директора находится приемная, в которой постоянно находится секретарь. К тому же проникновение в выделенное помещение будет контролироваться средствами охраны.
Нередко для достижения своих целей заинтересованные лица прибегают к помощи сотрудников, работающих на предприятии, ведь они знают систему организации изнутри. Для этого злоумышленники чаще всего используют подкуп и убеждение, известны так же случаи запугивания сотрудников.
Для исключения возможности несанкционированного доступа к данным сотрудниками организации на двери выделенного помещения установлен электронный считыватель.
Модель проникновения вероятного злоумышленника в выделенное помещение представлена в приложении 4.
Таким образом, при построении системы защиты следует учитывать, что основную часть нарушителей (около 70 %) будут составлять сотрудники фирмы, но необходимо также исключить проникновение посторонних лиц в контролируемую зону.
2.3 Разработка проекта комплексной системы защиты информации частного охранного предприятия ООО «ОСА»
Комплексная система защиты информации включает в себя следующие основные элементы:
правовую защиту информации;
организационную защиту информации;
инженерно-техническую защиту информации;
программно-аппаратную защиту информации;
криптографическую защиту информации.
Разработка комплексной системы защиты информации подразумевает тщательную отработку каждого элемента.
Правовые меры защиты информации обладают рядом признаков, которые отличают их от прочих видов защиты данных. С одной стороны, юридические меры выполняют охранительную функцию. Они формируют отношение субъектов оборота информации к нормам и правилам Закона. С другой стороны – компенсационная функция: в случае нанесения вреда законному владельцу информации Закон привлекает нарушителя к ответственности и обязывает его возместить причиненный ущерб.
К правовой защите информации на объекте относится:
Установленный перечень сведений, составляющих конфиденциальную информацию;
Инструкции по работе с документами, содержащими конфиденциальную информацию;
Трудовые договора с каждым сотрудником, в которых отдельным пунктом прописаны условия работы с конфиденциальной информацией и ответственность за ее разглашение.
Также с сотрудниками, непосредственно работающими с конфиденциальной информацией, заключается типовой договор, в котором оговорены все аспекты и особенности работы с конфиденциальной информацией.
Организационный элемент системы защиту информации содержит меры управленческого, ограничительного (режимного) и технологического характера. Данные меры должны побуждать персонал соблюдать правила защиты информации на объекте. Эти меры определяют:
Ведение всех видов аналитических работ;
Формирование и организацию деятельности службы безопасности, службы конфиденциальной информации, обеспечение деятельности этих служб нормативно-методической документацией;
Организацию, составление и регулярное обновление состава защищаемой банком информации. Составление и ведение перечня защищаемых бумажных и электронных документов;
Формирование разрешительной системы разграничения доступа персонала к конфиденциальной информации;
Методы отбора персонала для работы с конфиденциальной документацией, методику обучения и инструктирования работников;
Контроль соблюдения работниками порядка защиты информации;
Технологию защиты, обработки и хранения бумажных и электронных документов;
Регламентацию не машинной технологии защиты электронных документов;
Порядок защиты ценной информации от случайных или умышленных несанкционированных действий персонала;
Порядок защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе и представителями СМИ;
Оборудование и аттестацию помещений и рабочих зон, выделенных для работы с конфиденциальной информацией;
Регламентацию пропускного режима на территории, в здании, помещениях, идентификации транспорта и персонала фирмы;
Организацию системы охраны территории;
Регламентацию действий персонала в экстренных ситуациях;
Регламентацию работы по управлению системой защиты информации.
Элемент организационной защиты является стержнем, основной частью рассматриваемой комплексной системы защиты. Меры по организационной защите информации составляют 50-60 % в структуре большинства систем защиты информации.
Автоматизированная система объекта относится к классу защищенности 1Г. Для обеспечения программно-аппаратной защиты в банке используется система «SecretNet».
Основные возможности комплекса «SecretNet»:
Поддержка автоматической смены пароля пользователя по истечении заданного интервала времени;
Разграничение доступа пользователей к ресурсам компьютера с помощью механизмов дискретного и мандатного управления доступом;
Создание для любого пользователя ограниченной замкнутой среды программного обеспечения (списка разрешенных для запуска программ;
Управление временем работы всех пользователей;
Регистрация действий пользователя в системном журнале;
Защита компьютера от проникновения и размножения вредоносных программ;
Контроль целостности средств защиты, среды выполнения программ и самих прикладных программ;
Централизованный мониторинг состояния безопасности информационной системы и управления защитными механизмами;
Криптографическая защита данных.
К программно-аппаратным средствам защиты информации относится защита ПЭВМ и СИРД от ПЭМИН.
Побочные электромагнитные излучения и наводки (ПЭМИН) — это паразитные электромагнитные излучения радиодиапазона, создаваемые в окружающем пространстве устройствами, специальным образом для этого не предназначенными.
В выделенном помещении для исключения ПЭМИН используется генератор шума ГШ-К-1000М. Он предназначен для защиты информации от утечки, обусловленной побочными электромагнитными излучениями и наводками ПЭВМ и других средств обработки информации. Генератор является бескорпусным и устанавливается в PCI слот системного блока ПЭВМ. Генератор имеет внешнюю гибкую рамочную антенну диаметром 50 см. Изделие имеет индикацию работоспособности, в случае неисправности подается звуковой сигнал.
Для защиты СИРД используется ГШ-1000М. В отличие от модели представленной выше он имеет корпус и устанавливается непосредственно рядом с СИРД. Его рабочий диапазон такой же, как и у ГШ-К-1000М и составляет 0,1-1000 МГц. Оба прибора имеют сертификаты ФСТЭК.
Инженерно-техническая защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности организации или учреждения.
Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя:
- сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);
- средства защиты помещений от визуальных способов технической разведки;
- средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);
- средства противопожарной охраны;
- технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг.
Исходя из перечисленных ранее возможных каналов утечки информации, необходимо смоделировать способы ее защиты.
Таблица 2
Модель защиты информации от утечки по техническим каналам с объекта защиты
| №п\п | Место установки | Тип устройства защиты информации | Способ применения | Технический канал закрытия утечки информации |
| 1. | Окно помещения | Установка на окна защитной пленки | Постоянно | Оптический |
| 2. | Розетки 220 Вв выделенном помещении | Фильтр сетевой помехоподавляющий ФСП-1Ф-7А | Постоянно | Радиоэлектронный |
| 3. | ПЭВМ | Генератор шума ГШ-К-1000М | Постоянно | Радиоэлектронный |
| 4. | СИРД | Генератор шума ГШ-1000М | Постоянно | Радиоэлектронный |
| 5. | Линии системы энергоснабжения | Генератор шума SEL SP 41 | Постоянно | Радиоэлектронный |
| 6. | Рядом с телефоном | Многофункциональный модуль защиты телефоной линии"SEL SP-17/D" | Постоянно | Радиоэлектронный |
| 7. | Системы центрального отопления, стены, подземные водопроводы и теплопроводы | Виброакустический генераторСоната АВ 1М | Постоянно | Акустический |
Так как окна выделенного помещения выходят на стоянку автомобилей, поэтому для исключения утечки информации по оптическому каналу, на окна устанавливается защитная пленка, которая не только исключает возможность просмотра происходящего в помещений через окна, но и поглощает ИК-излучение и является бронированной.