Оценка стоимости оборудования для совершенствования системы защиты информации в конференц-зале

Кроме того, учитывая, что для добывания информации злоумышленник может использовать различные специальные средства (закладные устройства, диктофоны и др.), третье направление включает методы обнаружения, локализации и уничтожения и этих средств, а также подавления их сигналов.

Первое направление объединяют методы, при реализации которых:

• затрудняется движение злоумышленника или распространение стихийных сил к источнику информации;
• обнаруживается вторжение злоумышленника или стихийных сил в контролируемую зону и их нейтрализация.

Затруднение движения источников угроз воздействия к источникам информации обеспечивается в рамках направления, называемого физической защитой. Физическая защита обеспечивается методами инженерной защиты и технической охраны. Инженерная защита создается за счет использования естественных и искусственных преград на маршрутах возможного распространения источников угроз воздействия. Искусственные преграды создаются с помощью различных инженерных конструкций, основными из которых являются заборы, ворота, двери, стены, межэтажные перекрытия, окна, шкафы, ящики столов, сейфы, хранилища. Так как любые естественные и искусственные преграды могут быть преодолены, то для обеспечения надежной защиты информации, как и иных материальных ценностей, необходимы методы обнаружения вторжений в контролируемые зоны и их нейтрализации.

Эти методы называются технической охраной объектов защиты. Под объектами защиты понимаются как люди и материальные ценности, так и носители информации, локализованные в пространстве, К таким носителям относятся бумага, машинные носители, фото и кино пленка, продукция, материалы и т. д., то есть все, что имеет четкие размеры и вес.

Скрытие информации предусматривает такие изменения структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с качеством, достаточным для использования ее в собственных интересах.

Различают информационное и энергетическое скрытие. Информационное скрытие достигается изменением или созданием ложного информационного портрета семантического сообщения, физического объекта или сигнала.

Информационным портретом можно назвать совокупность элементов и связей между ними, отображающих смысл сообщения (речевого или данных), признаки объекта или сигнала. Элементами дискретного семантического сообщения, например, являются буквы, цифры или другие знаки, а связи между ними определяют их последовательность. Информационными портретами объектов наблюдения, сигналов и веществ являются их эталонные признаковые структуры.

Возможны следующие способы изменения информационного портрета:

• удаление части элементов и связен, образующих информационный узел (наиболее информативную часть) портрета;
• изменение части элементов информационного портрета при сохранении неизменности связей между оставшимися элементами;
• удаление или изменение связей между элементами информационного портрета при сохранении их количества.

Другой метод информационного скрытия заключается в трансформации исходного информационного портрета в новый, соответствующий ложной семантической информации или ложной признаковой структуре, и "навязывании" нового портрета органу разведки или злоумышленнику. Такой метод защиты называется дезинформированием.

Принципиальное отличие информационного скрытия путем изменения информационного портрета от дезинформирования состоит в том, что первый метод направлен на затруднение обнаружения объекта с информацией среди других объектов (фона), а второй - на создании на этом фоне признаков ложного объекта.

Дезинформирование относится к числу наиболее эффективных способов защиты информации по следующим причинам:

• создает у владельца защищаемой информации запас времени, обусловленный проверкой разведкой достоверности полученной информации;
• последствия принятых конкурентом на основе ложной информации решений могут быть для него худшими по сравнению с решениями, принимаемыми при отсутствии добываемой информации.

 

 

 

 

 

 

1.4 Описание средств обеспечения ИБ

Средства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

- технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую - генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.

- программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты.

 

 

 

1.5 План помещения объекта защиты

Помещение для проведения конфиденциальных переговоров и совещаний размещено на 5-м этаже 9 этажного кирпичного офисного здания. Окна помещения выходят на многоэтажный жилой дом и офисное здание с парковочной площадкой, на расстоянии 30 м. и 25м. соответственно (рис. 1). Вход людей в организацию обеспечивается через контрольно - пропускной пункт (КПП). Вход в здание через дверь, открываемую в сторону административного здания. Окна 1-го этажа укреплены стальными решетками. Рисунок 1 Схема расположения организации

Помещение для проведения конфиденциальных переговоров и совещаний имеет четыре окна, выходящие на улицу и двойную дверь, без доводчиков, в коридор, в котором могут находиться не только сотрудники организации, но и посетители. Площадь кабинета составляет 71,25 м2. Мебель комнаты состоит из длинного стола и стульев, которые распложены в центре комнаты, кондиционера, доски-экрана и сейфа. Во время проведения совещания участники располагаются за столом (рис. 2).

Рисунок 2 Схема помещения для проведения переговоров

(1,2,3,4 – окна; 5 – кондиционер; 6 – сейф; 7 – доска - экран; 8,9 –  розетки; 10 – проектор;  11 – ПЭВМ; 10 – проектор; 12 – дверь; 13 – телефонный  аппарат.)

 

 

1.6 Виды и источники информации, циркулирующей в выделенном помещении

 

При проведении совещаний и переговоров с участием представителей сторонних организаций вниманию участников совещания предоставляются в полном объеме материалы, составляющие ту информационную базу, на основании которой принимаются конкретные решения при обсуждении проекта комплексной работы. В зависимости от вида предоставляются сведения, которые могут составлять коммерческую тайну какой-либо из участвующих организаций.

Основные формы информации, представляющие интерес с точки зрения защиты:

• документальная;
• акустическая (речевая).

Документальная информация содержится в графическом или буквенно-цифровом виде на бумаге, а также в электронном виде на магнитных и других носителях. Особенность документальной информации в том, что она в сжатом виде содержит сведения, подлежащие защите.

Источники документальной информации:

• документы;
• плакаты;
• модели;
• графики.

Акустическая (речевая) информация - основная часть информации на совещании, передается посредством человеческой речи, источниками которой являются сотрудники рассматриваемой и сторонней организации. Под речевой информацией понимается то, что произносится участниками совещаний (обсуждения, замечания, ремарки). Речевая информация несет в себе основную смысловую нагрузку, так как является прямым и непосредственным выражением человеческой мысли.

Источниками речевой информации в помещении для проведения конфиденциальных совещаний и переговоров могут быть:

• непосредственная речь участников заседания;
• люди, чья речь предварительно записана и воспроизведена при помощи технических аудио приспособлений.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2 Практическая часть

2.1 Проектирование технических мер по защите информации в защищаемом помещении

 

Техническое мероприятие - это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений. Технические мероприятия направлены на закрытие каналов утечки информации.

К техническим мероприятиям с использованием пассивных средств относятся:

Контроль и ограничение доступа:

• установка на объектах ОТСС и в помещении для переговоров технических средств и систем ограничения и контроля доступа.

Управление доступом – это способ защиты информации регулированием всех ресурсов системы (технических, программных средств, элементов данных).

Системой контроля и управлением доступа решаются следующие задачи:

• контроля и управления доступом сотрудников и посетителей в помещение для проведения конфиденциальных переговоров;
• автоматического ведения баз данных доступа в пределах защищаемого объекта.

Локализация излучений:

• заземление ОТСС и экранов их соединительных линий;
• звукоизоляция помещения.

Развязывание информационных сигналов:

• установка автономных или стабилизированных источников электропитания ОТСС;
• установка устройств гарантированного питания ОТСС;
• установка в цепях электропитания ОТСС, а также в линиях осветительной и розеточной сетей помещения для переговоров помехоподавляющих фильтров.

К мероприятиям с использованием активных средств относятся:

• поиск закладных устройств с использованием индикаторов поля

При проектировании системы ИТЗИ в коммерческой фирме следует учитывать, что деятельность любой коммерческой организации направлена на получение максимальной прибыли при минимальных издержках. В связи с этим следует максимально использовать возможности уже имеющейся на фирме СИТЗИ и предложить для ее совершенствования минимум инженерно-технических средств, к тому же, не требующих значительных финансовых затрат.

Для построения СИТЗИ рассмотренного объекта от утечки информации по техническим каналам, можно предложить следующие средства и системы защиты:

Защита речевой информации

Для осуществления полной защищенности акустической (речевой) информации при проведении совещания в рассматриваемой организации, необходимо применение в комплексе последующих предложенных рекомендаций.

Для защиты акустической (речевой) информации используются активные и пассивные методы и средства:

1. Энергетическое скрытие путем:

• звукоизоляции акустического сигнала;

• звукопоглощения акустической волны;
• глушения акустических сигналов;
• зашумления помещения или твердой среды распространения другими широкополосными звуками, которые обеспечивают маскировку акустических сигналов.

2. Обнаружение, локализация и изъятие закладных устройств.

Пассивные способы защиты

К пассивным методам относится звукоизоляция и экранирование.

В условиях совещания неуместно уменьшение громкости речи, поэтому для защиты такой информации следует применять звукоизоляцию, звукопоглощение и глушение звука.

Звукоизоляция локализует источники акустических сигналов в замкнутом пространстве, в данном случае в комнате для переговоров. Основное требование к звукоизоляции: за пределами комнаты соотношение сигналов/помеха не должно превышать максимально допустимые значения, исключающие добывание информации злоумышленниками.