Проект модернизации системы информационной безопасности предприятия

1.2 Характеристика объекта защиты
Компания ООО «Ново» основана в 2003 году. Предоставляет услуги связи в Новосибирске под брендом «Электронный город».
Предоставляет следующие услуги связи:
• доступ в интернет;
• IP-телевидение;
• кабельное телевидение;
• обслуживание домофонов;
• городская телефония;
• охрана;
• видеоконтроль.
Предоставление данных услуг позволяет компании занимать большую часть рынка телекоммуникаций среди провайдеров в городе Новосибирске.
Сеть “Электронного города” покрывает 92% города Новосибирска, абонентская база составляет более 150 000 объектов. К сети провайдера подключены как частные лица, так и компании разных уровней.
Для качественной и бесперебойной работы компании, оказания услуг и поддержки клиентов, компания содержит большой штат сотрудников. В него входят специалисты разных направлений, большую часть составляют менеджеры по продажам и специалисты удаленной поддержки абонентов.
…

1.3 Обзор и анализ средств защиты объекта информатизации

Оборудование технической части средств защиты информации (СЗИ) на объекте можно разделить на две большие группы: средства обнаружения устройств съема информации и средства защиты. Ниже рассмотрим рынок изделий и систем технической защиты информации. Заметим, что для защиты информации рекомендуется использовать сертифицированные по требованиям безопасности информации технические средства обработки и передачи информации, технические и программные средства защиты информации.
Анализ ООО «Ново» показал составить перечень программно-аппаратных СЗИ (таблица 1.1) и других СЗИ (таблица 1.2).

Таблица 1.
…

1.4 Модель вероятного нарушителя и анализ рисков

В качестве исходных данных для разработки модели нарушителя ООО «Ново» определим:
• предположения о категориях лиц, к которым может принадлежать нарушитель;
• предположения о мотивах действий нарушителя;
• предположения о квалификации нарушителя и его технической оснащенности;
• ограничения и предположения о характере возможных действий нарушителей.
Построим модель предполагаемого нарушителя (таблица 1.3).
Таблица 1.3 – Модель нарушителя ООО «Ново»
Уровень
Положение
Возможности нарушителя
Потенциальная группа нарушителей
1
внутренний
Не имеет физического доступа к финансовым ценностям, материальным носителям с конфиденциальной информацией, имеет доступ к материальным ценностям
Рабочие ремонтного, механического, транспортного участка, вспомогательный персонал (например, грузчики) и т.п.
…

2. Разработка проекта инженерно-технической системы безопасности объекта защиты

2.1 Постановка задачи

В этой главе необходимо провести оценку уязвимости и рисков ин­формации при имеющемся множестве угроз и каналов утечки, определить требования к системе защиты, а также разработать рекомендации по обеспечению технической защиты объекта информатизации и осуществить выбор технических средств защиты информации и их характеристик.

2.2 Характеристика системы защиты объекта информатизации

При специальных исследованиях технических средств обработки информации необходимо измерять уровень побочных электромагнитных излучений (ПЭМИ) и рассчитывать радиус минимально необходимой контролируемой зоны, характеризующий минимальное расстояние от технического средства на границе и за пределами которого отношение сигнал/шум не превышает нормированного значения.
Радиус зоны 2 для современных мониторов может составлять 5 – 100 м.
…

1.1 Постановка задачи

Данный пункт можно считать пред проектным обследованием объекта, тщательность выполнения задач которого напрямую влияет на качество разрабатываемого проекта, в нашем случае – модернизации системы физической безопасности. К задачам пред проектного обследования относятся: сбор материала о структуре объекта, функциях подразделений и системе управления, архитектурных особенностях зданий и сооружений. Здесь также необходимо дать подробное описание пожарно-охранной системы, системы охранного телевидения и системы контроля доступа.

1.2 Характеристика объекта защиты
Компания ООО «Ново» основана в 2003 году. Предоставляет услуги связи в Новосибирске под брендом «Электронный город».
Предоставляет следующие услуги связи:
• доступ в интернет;
• IP-телевидение;
• кабельное телевидение;
• обслуживание домофонов;
• городская телефония;
• охрана;
• видеоконтроль.
…

2.2 Характеристика системы защиты объекта информатизации

При специальных исследованиях технических средств обработки информации необходимо измерять уровень побочных электромагнитных излучений (ПЭМИ) и рассчитывать радиус минимально необходимой контролируемой зоны, характеризующий минимальное расстояние от технического средства на границе и за пределами которого отношение сигнал/шум не превышает нормированного значения.
Радиус зоны 2 для современных мониторов может составлять 5 – 100 м.
Целью инструментального контроля является определение размера контролируемой зоны вокруг объекта контроля. Расчет зоны 2 (R2) осуществляется на основании рекомендаций, изложенных в «Сборнике методических материалов по проведению специальных исследований технических средств АСУ и ЭВМ, предназначенных для работы с секретной информацией» в соответствии с требованиями «Норм эффективности защиты АСУ и ЭВМ от утечки информации за счет побочных излучений и наводок».
…

2.3 Организация технической защиты ООО «Ново»

Для построения эффективной системы защиты информации отделу безопасности необходимо иметь некоторые виды поисковой аппаратуры. Устройства поиска технических каналов утечки информации и средства контроля приведены в обзоре средств защиты объекта информатизации.
В качестве средства поисковой аппаратуры был выбран портативный поисковый прибор D-008[http://www.techportal.ru]. Данный прибор нужен отделу безопасности для оперативного обнаружения подслушивающих устройств. Изделие имеет два канала обнаружения и функционально представляет собой комбинацию двух поисковых приборов: детектора поля для поиска радиоизлучающих подслушивающих устройств; анализатора проводных линий для поиска подслушивающих устройств, использующих для передачи информации проводные линии (телефонные, сигнализации, электропитания 380/220 В). Работы по внедрению мер и средств защиты объекта информатизации представляют собой установку средств защиты информации.
…

2.4 Конструкторские решения по защите информации на объекте информатизации

Рассмотрим рекомендации по установке выбранных устройств и произведем их размещение в помещениях ООО «Ново».
Стационарный индикатор поля «ДИ-Ч» [http://www.alt-1c.ru] обычно располагается как настольные часы.
Устройство защиты телефонных переговоров «Референт basic» устанавливается как обычный телефонный аппарат.
При использовании «ГРОМ-ЗИ-4» для зашумления малогабаритных, локально размещенных объектов, антенная система может не ориентироваться в пространстве. При зашумлении крупногабаритных объектов (вычислительных центров, терминальных залов, мощных вычислительных комплексов) рекомендуется использовать несколько комплектов «ГРОМ-ЗИ-4», размещая антенные системы в трех перпендикулярных плоскостях.
Генератор шума ГШ-1000М устанавливается вблизи защищаемого компьютера. Один генератор обеспечивает маскировку (защиту) информации устройств вычислительной техники, размещенной в помещении площадью порядка 40 кв.м.
…

2.5 Разработка системы видеонаблюдения объекта защиты

Целевыми задачами видеоконтроля объекта защиты является:
1) обнаружение:
• общее наблюдение за обстановкой;
• верификация тревоги от системы охранной сигнализации;
• обнаружение всех перемещающихся в определенном направлении;
2) различение:
• контроль наличия посторонних;
• наблюдение за работой сотрудников;
• контроль за подходом посторонних лиц к запретной зоне или чужому имуществу;
3) идентификация:
• получение четкого изображения лица любого человека, который подходит к зоне (или находится в ней), позволяющего впоследствии узнать ранее незнакомого человека;
• идентификация записанного изображения с хранящимся в базе данных;
• определение номера автомобиля.
В системах видеонаблюдения объекта защиты используются следующие
виды наблюдения:
1) открытое демонстративное: видеокамеры привлекают внимание, хорошо видны места их расположения, ориентация, направление и скорость сканирования.
…

3.1 Характеристика условий труда на рабочем месте с ПК

Работа сотрудников ООО «Ново» непосредственно связана компьютером и другой офисной техникой, а соответственно с дополнительным вредным воздействием целой группы факторов, что отрицательно влияет на их здоровье и существенно снижает производительность труда.
Далее описаны основные факторы вредного и опасного влияния компьютера и другой офисной техники на организм человека. В помещении, где работают операторы ПЭВМ, могут негативно действовать определенные физические факторы.
1. Микроклимат рабочей зоны оператора ПЭВМ.
Не во всех помещениях удается поддерживать благоприятный микроклимат при жаркой погоде: температурный режим, вентиляцию. Непрерывно работающие компьютеры, имеющие систему охлаждения, постоянно отдают тепло в окружающую среду. Ежедневное пребывание в неблагоприятном (допустимом, вредном) микроклимате приводит к ухудшению самочувствия, простудным заболеваниям, обострению хронических заболеваний.
…

3.2 Работоспособность сотрудника и ее динамика

Существует целый ряд мероприятий, направленных на предотвращение неблагоприятного влияния на здоровье человека вредных факторов при работе с ЭВМ: характеристики помещения; микроклимат в помещении; уровень шума и вибраций; освещение рабочего места; электромагнитные поля; организация рабочего места; нервное напряжение и нагрузка;
Рассмотрим эти факторы немного подробнее (все ниже перечисленные требования, параметры значения соответствуют СанПиН 2.2.2/2.4.1340-03), с учетом специфики работ.
1. Требования к помещениям:
a) Площадь рабочего места – 6 м2;
b) При отделке интерьера должны использоваться материалы с диффузно-отражающей поверхностью и коэффициентом отражения: для потолка – 0,7÷0,8; для стен – 0,5÷0,6; для пола – 0,3÷0,5;
2. Требования предъявляемые к микроклимату в помещениях для работы с ЭВМ:
a) Ежедневная влажная уборка и ежечасное проветривание.
…

3.3 Пожарная безопасность предприятия

Среди чрезвычайных ситуаций наиболее вероятной является пожар. Общие требования к пожарной безопасности нормируются ГОСТ 12.1.004–91. [http://docs.cntd.ru/document/9051953]
Пожарная безопасность – состояние объекта, при котором исключается возможность пожара, а в случае его возникновения предотвращается воздействие на людей опасных факторов пожара и обеспечивается защита материальных ценностей. Пожарная безопасность обеспечивается системой предотвращения пожара и системой пожарной защиты. Во всех служебных помещениях имеются детекторы системы оповещения о пожаре (детекторы дыма, температурные датчики), а также «План эвакуации людей при пожаре», регламентирующий действия персонала в случае возникновения очага возгорания и указывающий места расположения пожарной техники.
Пожар в кабинете сотрудников подразделения безопасности представляет особую опасность, так как сопряжен с большими материальными и документальными потерями.
…

Заключение

В результате данного дипломного проекта была разработана система защиты информации объекта информатизации ООО «Ново» от технической разведки и утечки информации по ПЭМИН.
В аналитической части дипломного проекта было установлено, что объект уязвим от технической разведки и утечки информации по каналам ПЭМИН. Выявлены потенциально возможные угрозы и технические каналы утечки информации: визуально-оптический канал (просмотр информации с экранов дисплеев и других средств ее отображения, фото-, теленаблюдение), акустический канал (подслушивание разговоров, использование направленных микрофонов, закладных устройств), радиоэлектронный канал (перехват информации по каналам связи, по проводным коммуникациям, по каналам ПЭМИН). Проведен анализ рисков информации, который определил, какие угрозы являются наиболее опасными, и какое внимание уделять тем или иным угрозам на этапе проектирования системы защиты объекта. Построена модель вероятного нарушителя.
…

Список используемой литературы

1. ГОСТ Р ИСО/МЭК 15408–2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»;
2. ГОСТ Р ИСО/МЭК 17799–2005 «Информационная технология. Практические правила управления информационной безопасностью»;
3. ГОСТ Р ИСО/МЭК 27001–2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
4. Стандарт Банка России СТО БР ИББС-1.0–2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»;
5. ISO/IEC 17799:2005. Information technology. Security techniques. Code of practice for information security management. – ISO: 2005;
6. BS 7779–3:2006 «Системы управления информационной безопасностью. Часть 3: Руководство по управлению рисками информационной безопасности»;
7. Бузов Г.А.
…

ПРИЛОЖЕНИЕ А.
…