Разработка рекомендаций по технической защите конфиденциальной информации на предприятии от ее утечки по виброакустическому каналу

1.1. Анализ ГК «Троян» как объекта защиты
Офис группы компаний «Троян» располагается по адресу:
г. Москва, ул. Живописная, д. 50.
Объект располагается на первом этаже жилого здания.
В сферу деятельности ГК «Троян» входит оказание разносторонних услуг охранного характера. Возможность работать в данной сфере подтверждена лицензией № 4570 от 16 ноября 2016 года на оказание соответствующих услуг, выданной ГУ МВД РФ по городу Москва. Руководствуются действующими на сегодняшний день на территории России законами и нормативными актами.
Группа компаний представляет собой несколько самостоятельных направлений:
– физическая охрана;
– пультовая охрана;
– технические системы безопасности;
– техническое и сервисное обслуживание систем безопасности;
– аудит систем безопасности.
Организационная структура предприятия отражает состав и подчиненность линейных и функциональных звеньев управления персоналом, в Группе компаний «ТРОЯН» она имеет линейно-функциональный вид.
…

1.3. Проведение обследования защищаемого помещения
Для определения угроз, которые необходимо предотвратить от утечки по техническим каналам различной информации, стоит провести обследования защищаемого помещения.
Защищаемые помещения – это помещения, специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.)
В данной организации находится одна комната для переговоров, используемая для организации служебных совещаний по вопросам конфиденциального характера. То есть по признакам данное помещение подходит под категорию защищаемого помещения.
Необходимо рассмотреть характеристику переговорной комнаты для дальнейшего исследования (приложение 4).
Характеристики переговорной комнаты в группе компаний «Троян»:
• площадь – 42 квадратных метров (6×7м);
• вмещает до 10 человек за одним вытянутым по оси экрана столом;
• высота потолка 3.
…

1.4. Выводы по первой главе
В первой главе были совершены следующие действия:
• была проанализирована организация в лице Группа Компаний «Троян» как предмет защиты, а также степень защищённости всех активов компании;
• были рассмотрены все возможные угрозы технических каналов утечки информации в предприятии;
• были проанализированы сильные и слабые места в организации;
• был сделан вывод, что переговорная комната – самое опасной место с точки зрения утечки по акустическому и виброакустическому каналу утечки информаци;
• был произведён анализ переговорной комнаты и выявлены слабые места для утечки по виброакустическому каналу;
• были охарактеризованы конструкции защищаемого помещения;
• были рассмотрены значения коэффициентов звукоизоляции (виброизоляции) действующих конструкций.
На основании вышеизложенных описаний действий возможен переход к следующему этапу –  Разработке рекомендаций по технической защите помещения от утечки по виброакустическому каналу.
…

2.1. Разработка рекомендаций по пассивным методам защиты помещения
В первую очередь, как одну из рекомендаций по пассивной защите, будет рассмотрен комплекс  организационно-административных мер защиты.
В процессе исследования был проведен обзор ряда отечественных и международных стандартов в области информационной безопасности, результаты которого представлены в таблицах 15, 16.
Таблица 9
Международные стандарты, направленные на обеспечение информационной безопасности
Номер документа
Описание
ISO/IEC 25010:2011
Проектирование систем и разработка программного обеспечения. Требования к качеству систем и программного обеспечения и их оценка (SQuaRE). Модели качества систем и программного обеспечения
ISO/IEC 12207:2008
Информационные технологии. Процессы жизненного цикла программного обеспечения
ANSI/IEEE 829
Документация при тестировании программ.
ANSI/IEEE 1008
Тестирование программных модулей и компонент ПС.
…

2.2. Разработка рекомендаций по активной защите помещения
Для активной защиты помещения необходимо установить маскирующие средства. Одним из таких средств является система постановки виброакустических и акустических помех ЛГШ-401, предназначенная для противодействия специальным средствам несанкционированного съема информации, использующих в качестве канала утечки ограждающие конструкции помещения.
В первую очередь это электронные или акустические стетоскопы для прослушивания через потолки, полы и стены, проводные или радиомикрофоны, установленные на ограждающие конструкции или водопроводные и отопительные трубопроводы, а также лазерные или микроволновые системы съема информации через оконные проемы помещений.
ЛГШ-401 обеспечивает защиту путем постановки широкополосной виброакустической шумовой помехи на потенциально опасные конструкции помещений. Кроме того, предусмотрена возможность установки акустического излучателя для защиты воздуховодов и вентиляционных шахт.
…

3.1. Обоснование выбора средств защиты по виброакустическому каналу
Экономическая эффективность мероприятий по защите информации может быть определена через объем предотвращенного ущерба или величину снижения риска для информационных активов организации.
Для того, чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять), во-первых, ожидаемые потери при нарушении защищенности информации; во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.
Для определения уровня затрат обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать:
• полный перечень угроз информации;
• потенциальную опасность для информации для каждой из угроз;
• размеры затрат, необходимых для нейтрализации каждой из угроз.
…

3.2. Анализ затрат на реализацию рекомендаций

Данные о содержании и объеме разового и постоянного ресурса, выделяемого на защиту информации, представлены соответственно в таблицах24, 25.

Таблица 24
Содержание и объем разового ресурса, выделяемого на защиту информации
Организационные мероприятия
№ пп
Выполняемые действия
Среднечасовая зарплата специалиста (руб.)
Трудоемкость операции (чел.час)
Стоимость, всего (тыс.руб.)
1
Обследование объекта и обоснование необходимости создания ПиАСИБ
300
5
1500
2
Постановка целей и задач ПиАСИБ
300
3
900
3
Проектирование системы.
…

Заключение

Проблемы оценки и снижения рисков информационной безопасности привлекают все большее внимание специалистов в области телекоммуникационных сетей, вычислительных систем, экономики и многих других областей современного общества. Это связано с глубокими изменениями, вносимыми современными информационными технологиями во все сферы жизни государства и граждан. Современное общество чаще всего называют информационным, и при оценке степени его развития объем произведенной им информации и информационных услуг зачастую важнее объема произведенных им предметов материального потребления. При этом изменился сам подход к понятию «информации». Ценность информации, хранящейся, обрабатываемой или передаваемой в современных информационно-вычислительных системах, зачастую во много раз превышает стоимость самих систем.
…