Информационная защита административного здания строительной организации

ВВЕДЕНИЕ

Инженерно-техническая защита информации - одна из основных составляющих комплекса мер по защите информации. Этот комплекс включает нормативно-правовые документы, организационные и технические меры, направленные на обеспечение безопасности секретной и конфиденциальной информации.

Инженерно-техническая защита информации включает комплекс организационных и технических мер по обеспечению информационной безопасности техническими средствами и решает следующие задачи:

1. Предотвращение проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения.
2. Защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении. 
3. Предотвращение утечки информации по различным техническим каналам.

Способы и средства решения первых двух задач не отличаются от способов и средств защиты любых материальных ценностей, третья задача решается исключительно способами и средствами инженерно-технической защиты информации.

Инженерно-техническая защита информации представляет собой достаточно быстро развивающуюся область науки и техники на стыке теории систем, физики, оптики, акустики, радиоэлектроники, радиотехники, электро- и радиоизмерений и других дисциплин. Круг вопросов, которыми вынуждена заниматься инженерно-техническая защита, широк и обусловлен многообразием источников и носителей информации, способов и средств её добывания, а, следовательно, и защиты.

Первым шагом на пути построения системы ЗИ является разработка документа "Перечень сведений, составляющих коммерческую тайну предприятия". Работу по созданию перечня можно разбить на два этапа: 1) составление предварительного перечня; 2) анализ  предварительного перечня, разработка окончательного перечня и его утверждение. Второй этап включает в себя описание пространственного расположения мест размещения источников защищаемой информации. Далее создаются поэтажные планировки зданий с указанием мест размещения источников информации и необходимыми комментариями. Третий этап создания системы защиты информации - моделирование угроз безопасности с целью оценки уязвимости объектов защиты и степени риска, при этом создаются модели технических и физических каналов утечки информации.

В данной курсовой работе в качестве объекта информационной защиты рассматривается административное здание строительной организации.

Статья 3 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне»

Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

1. МОДЕЛИРОВАНИЕ ОБЪЕКТА ЗАЩИТЫ

1. Структурирование защищаемой информации

Защита информации будет рациональной в том случае, когда уровень защиты, а следовательно, затраты соответствуют количеству и качеству информации. Для обеспечения рациональной защиты возникает необходимость структурирования конфиденциальной информации, т.е. разделение её, на так называемые информационные элементы. Информационный элемент представляет собой информацию на носителе с достаточно четкой границей, и удовлетворяет следующим требованиям:

- принадлежность конкретному источнику, т.е. документу, человеку и т.д;

- содержится на отдельном носителе;

- имеет конкретную цену.

Структурирование информации проводится путем последовательной детализации защищаемой информации, начиная с перечня сведений содержащих тайну. Детализация представляет иерархическое разбиение информации в соответствии со структурой тематических вопросов, охватываемые все аспекты объекта.

Структура КИ

Каждому элементу присвоим гриф (метку) секретности и рассчитаем ее стоимость. Организация, осуществляющая коммерческую деятельность, может проставлять на своих документах гриф «Коммерческая тайна» в силу Федерального закона «О коммерческой тайне».

Статья 3 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне»

«Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду».

Так как для детальной классификации КИ одного грифа явно недостаточно, будем использовать метки секретности:

• СК (строго конфиденциально);
• К (конфиденциально);
• ДВП (для внутреннего пользования).

Для определения цены элемента информации используем метод экспертных оценок. Этот метод может осуществляться, если известен ущерб, который будет причинен фирме в случае утечки этой информации. При этом вид и объем информации не влияют на эту цену.

Структурная модель объекта защиты представлена в таблице 1.

1.2 Разработка модели объекта защиты

Моделирование объектов защиты проводится на основе пространственных моделей. Пространственная модель объекта информационной защиты - табличное  описание пространственных зон с указанием месторасположения источников защищаемой информации. Источником для получения пространственной модели является разработанный ранее эскиз объекта информационной защиты. Пространственная  модель  представлена в таблице 2.

Таблица 2

2. КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ
1. Оптический канал.

Отраженный от объекта свет содержит информацию о его внешнем виде (видовых признаках), а излучаемый объектом свет - о параметрах излучений (сигнальных признаках).  Запись информации производится в момент отражения падающего света путем изменения яркости и спектрального состава отраженного луча света. Излучаемый свет содержит информацию об уровне и спектральном составе источников видимого света, а в инфракрасном диапазоне по характеристикам излучений можно также судить о температуре элементов излучения.      

Оптический канал предполагает получение информации путем:

• визуального наблюдения;
• фото - видеосъемки;
• использования видимого и инфракрасного диапазонов для передачи информации от скрыто установленных микрофонов и других датчиков.

При этом в качестве среды распространения могут использоваться как свободное пространство, так и волоконно-оптические линии связи. Сюда же следует отнести использование лазерного излучения для перехвата разговоров, ведущихся в некотором помещении, путем зондирования оконного остекления.

2. Радиоэлектронный канал

В радиоэлектронном канале носителем информации является электрический ток и электромагнитное поле с частотами колебаний от звукового диапазона до десятков ГГц.    

Радиоэлектронный канал относится к наиболее информативным каналам утечки  в силу следующих его особенностей:      

- независимость функционирования канала от времени суток и года, существенно меньшая зависимость его параметров по сравнению с другими каналами от метеоусловий;      

- высокая достоверность добываемой информации, особенно при перехвате ее в функциональных каналах связи (за исключением случаев дезинформации);      

- большой объем добываемой информации;      

- оперативность получения информации вплоть до реального масштаба времени;     

  - скрытность перехвата сигналов и радиотеплового наблюдения.

В радиоэлектронном канале производится перехват радио и электрических сигналов, радиолокационное и радиотепловое наблюдение.

Структура радиоэлектронного канала утечки информации в общем случае включает источник сигнала или передатчик, среду распространения электрического тока или электромагнитной волны и приемник сигнала.

В радиоэлектронных каналах утечки информации источники сигналов могут быть четырех видов:      

- передатчики функциональных каналов связи;      

- источники опасных сигналов;      

- объекты, отражающие электромагнитные волны в радиодиапазоне;      

- объекты, излучающие собственные (тепловые) радиоволны.      

3. Акустический канал

В акустическом канале утечки носителем информации от источника к несанкционированному получателю является акустическая волна в атмосфере, воде и твердой среде. Источниками ее могут быть:

- говорящий человек, речь которого подслушивается в реальном масштабе времени или озвучивается звуковоспроизводящим устройством; 

- механические узлы механизмов и машин, которые при работе издают акустические волны.  

Источники сигналов характеризуются диапазоном частот, мощностью излучения в Вт, интенсивностью излучения в Вт/м² - мощностью акустической волны, прошедшей через перпендикулярную поверхность площадью 1 м² , громкостью звука в дБ, измеряемой как десятичный логарифм отношения интенсивности звука к интенсивности звука  порога слышимости. Порог слышимости соответствует мощности звука 10^-12 Вт или звуковому давлению на барабанную перепонку уха человека 2^.10 ^{- 5} Па.

Уровни громкости различных звуков

Акустические волны как носители информации характеризуются следующими показателями и свойствами:      

- скоростью распространения носителя;      

- величиной (коэффициентом) затухания или поглощения;      

- условиями распространения акустической волны (коэффициентом отражения от границ различных сред, дифракцией).      

Виброакустический канал связан с распространением колебаний звуковой частоты по строительным конструкциям и инженерным коммуникациям. Особенно хорошо звуковые колебания распространяются по арматуре ограждающих конструкций, трубам отопления и водоснабжения. При удачном стечении обстоятельств «противник» может прослушать разговоры, ведущиеся в помещении, с помощью вибродатчика (стетоскопа), установленного на трубу отопления с расстояния в несколько десятков метров. Обычно подслушивание с использованием виброакустического канала осуществляется из соседнего или смежного помещения через толщу строительной конструкции с помощью стетоскопа, чувствительным элементом которого является  вибродатчик.

4. Материально-вещественный канал

Особенность этого канала вызвана спецификой источников и носителей информации по сравнению с другими каналами. Источниками и носителями информации в нем являются субъекты (люди) и материальные объекты (макро и микрочастицы), которые имеют четкие пространственные границы локализации, за исключением излучений радиоактивных веществ. Утечка информации в этих каналах сопровождается физическим перемещением людей и материальных тел с информацией за пределами контролируемой зоны. Для более четкого описания рассматриваемого канала целесообразно уточнить состав источников и носителей информации.

Основными источниками материально-вещественного канала утечки информации являются следующие:

- черновики различных документов и макеты материалов, узлов, блоков, устройств, разрабатываемых в ходе научно-исследовательских и опытно-конструкторских работ, ведущихся на предприятии (организации);      

- отходы делопроизводства и издательской деятельности на предприятии (организации), в том числе использованная копировальная бумага, забракованные листы при оформлении документов и их размножении;      

- нечитаемые дискеты ПЭВМ из-за их физических дефектов и искажений загрузочных или других кодов;      

- бракованная продукция и ее элементы;      

- отходы производства в газообразном, жидком и твердом виде.    

Перенос информации в этом канале за пределы контролируемой зоны возможен следующими субъектами и объектами:

- сотрудниками организации и предприятия;      

- воздушными массами атмосферы;      

- жидкой средой;      

- излучениями радиоактивных веществ.      

Эти носители могут переносить все виды информации: семантическую и признаковую, а также демаскирующие вещества. Семантическая информация содержится в черновиках документов, схем, чертежей; информация о видовых и сигнальных демаскирующих признаках - в бракованных узлах и деталях, в характеристиках радиоактивных излучений и т. д.; демаскирующие - в газообразных, жидких и твердых отходах производства.

Структура материально-вещественного канала утечки информации

Приемники информации этого канала достаточно разнообразны. Это эксперты зарубежной разведки или конкурента, средства для физического и химического анализа, средства вычислительной техники, приемники радиоактивных излучений и др.

3. МОДЕЛИРОВАНИЕ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
1. Общие сведения

Моделирование угроз безопасности информации предусматривает анализ способов ее хищения, изменения и уничтожения с целью оценки наносимого этими способами ущерба.

Моделирование угроз включает:

- моделирование способов физического проникновения злоумышленника                                                                     к  источникам информации;

- моделирование технических каналов утечки информации.

Действие злоумышленника по добыванию информации и материальных ценностей определяется поставленными целями и задачами, мотивацией, квалификацией и технической оснащенностью. Прогноз способов физического проникновения следует начать с выяснения, кому нужна защищаемая информация. Для создания модели злоумышленника необходимо мысленно проиграть с позиции злоумышленника варианты проникновения к источникам информации. Чем больше при этом будет учтено факторов, влияющих на эффективность проникновения, тем выше будет вероятность соответствия модели реальной практике. В условиях отсутствия информации о злоумышленнике лучше переоценить угрозу, хотя это может привести в увеличению затрат.

2. Моделирование способов физического проникновения

Этот вид моделирования рассматривает все возможные способы физического проникновения злоумышленника и доступа его к защищаемой информации. Способ физического проникновения предполагает выбор конкретного пути преодоления злоумышленником преград для доступа к защищаемым элементам информации. Этот путь может проходить через пространственные зоны, рассмотренный пространственной моделью. Для построения такого пути необходимо проанализировать эскиз объекта и пространственную модель. В качестве препятствий могут быть окна (w) и двери (d), которые нужно преодолеть злоумышленнику для достижения цели.

Важным фактором при выборе пути злоумышленником является оценка реальности этого пути. Реальность пути связана с  вероятностью выбора злоумышленником этого пути. Она определялась методом экспертных оценок. Вероятность зависит от простоты реализации именного этого пути проникновения. Очевидно, что через некоторые окна и двери легче проникнуть, поэтому следующие  соображения:

1. Проникнуть легче через дверь, чем через окно;
2. Легче проникнуть в окно, не содержащее дополнительных средств защиты, чем в окно с решетками;
3. Проникнуть легче через обычную дверь, чем через железную;
4. Чем больше нужно миновать препятствий, тем путь менее вероятен;

В зависимости от этих соображений предлагаются следующие оценки O_r   реальности пути:

1. O_r=0,1  - для маловероятных путей;

2. O_r=0,5 - для вероятных путей;

3. O_r=0,9 - для наиболее вероятных путей.

Величина угрозы находится по формуле:

D=O_r ∙ S_{i ,}

где:  D - величина угрозы, выраженная в условных единицах;

O_r - оценка реальности пути;

S_i - цена элемента информации i.

Для формализации оценки угрозы целесообразно ввести ранжирование величины угрозы по ее интервалам, сопоставляемым с рангами. Ранги угроз с линейной шкалой можно устанавливать из следующих соображений:

• Определяется диапазон значений величин угроз как (1 ÷ D_max);

• вводится в рассмотрение 6 рангов;
• устанавливается наивысший по значимости ранг R₁=1 для угроз, имеющих значительные величины;
• определяется линейный интервал ранга d=D_max/6;
• соответствие рангов угроз и интервалов величин угроз определяется следующими формулами:

R₆=6 : [1÷ R_6max], R_6max = d-1;

R_i=i : [(R_(i+1)max +1)÷ R_imax] ,  R_imax = R _(i-1)max + d; i = (2,3,4,5);

R₁=1 : [ >R_2max+1].

Максимальная величина угрозы D_max = 99,  тогда d=16,5.

Определяем ранги и интервалы значений угроз:

R₆=6 для интервала [ 0÷ 16];

R₅=5 для интервала [16,5 ÷ 32,5];

R₄=4 для интервала [33 ÷ 49];

R₃=3 для интервала [49,5 ÷ 65,5];

R₂=2 для интервала [66 ÷ 82];

R₁=1 для интервала [82,5÷99];

Полученная система рангов представлена в таблице 3.

Таблица 3

Модель способов физического проникновения представляется в таблице 4.

Таблица 4