В данной организации будет рассмотрен кабинет 225 - кабинет начальника отдела (рисунок 16).
Рисунок 16 - Схема «Кабинет начальника отдела Управления ФСТЭК России по Сибирскому федеральному округу (помещение № 225)»
Кабинет находится на втором этаже здания, его площадь 11,56 м2, длина 3,40 м и ширина 3,40 м, высота потолков 2,9 м. В помещении находят два шкафа с документацией, гардероб, стол письменный, брифинг приставка, кресло, 5 стульев, тумба и стол. Также помещение оборудовано компьютером, сканером, принтером, телефоном и кондиционером. ЗП находится внутри режимной территории в соответствии с Инструкцией по обеспечению режима секретности в Российской Федерации.
В этом помещении проводятся совещания отдела, работы с конфиденциальной информацией.
Информация, циркулирующая в помещении, делится на два типа, согласно Федеральному закону № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [12]:
? общедоступную;
? сведения ограниченного доступа.
Общедоступной информацией являются сведения открытого характера.
Сведениями ограниченного доступа является информация для служебного пользования. Информация с пометкой «Для служебного пользования» определяется Перечнем сведений отнесенных к служебной тайне, Федеральной службы по техническому и экспортному контролю [11].
В настоящем Перечне под служебной тайной понимаются несекретные сведения, касающиеся деятельности ФСТЭК России, ограничения на распространение которых, диктуются служебной необходимостью (служебная информация ограниченного распространения) [13].
На носителях информации, содержащих сведения, отнесенные к служебной тайне, проставляется пометка «Для служебного пользования».
Настоящий Перечень не распространяется на сведения, отнесенные к государственной тайне, в том числе, об организационно-техническом обеспечении деятельности Межведомственной комиссии по защите государственной тайны и сведения, раскрывающие деятельность по реализации требований международных договоров в области нераспространения оружия массового уничтожения и средств его доставки, а также сведения открытого характера, отнесение которых к информации ограниченного распространения запрещено нормативными правовыми актами Российской Федерации [11].
Стоимость элемента информации рассчитывается по формуле:
, (1)
гдеО - объем информации;
- цена за единицу информации.
В таблице 1 указаны сведения, с которыми проводятся работы в ЗП.
Таблица 1
|
Наименование элемента информации |
Гриф/ пометка |
Объем, Кб |
Цена за 1 Кб, у.е. |
Цена, у.е. |
|
|
Акты проверок |
ДСП |
2000 |
10 |
20000 |
|
|
База данных предприятий |
ДСП |
5000 |
10 |
50000 |
|
|
Опись документов, находящихся у носителя |
ДСП |
10 |
10 |
100 |
В таблице 2 приведено описание ЗП с инженерной стороны.
Таблица 2
|
Наименование позиции |
Информация |
|
|
Название помещения |
Кабинет начальника отдела |
|
|
Этаж |
2 |
|
|
Количество окон, наличие штор, сигнализация |
Одно окно (выходит на центральную улицу города). На окне имеются жалюзи, установлена сигнализация (срабатывает при открытии или ударе). |
|
|
Количество и тип дверей, замков |
Одна деревянная дверь. На двери установлен механический замок. Ключ от помещения находится у начальника отдела. В нерабочее время ключ сдается на пост охраны. На двери установлена сигнализация, которая отключается на посту охраны. |
|
|
Название соседних помещений |
Помещение находится внутри режимной территории |
|
|
Цепи электропроводки |
Проводка выполнена скрытно, под штукатуркой, в стенах - через стальные патрубки. Система освещения - люминесцентные лампы. |
|
|
Телефонная связь |
В помещении установлен телефонный аппарат LG-NORTEL |
Оборудование, установленное в ЗП указано в таблице 3.
Таблица 3
|
Вид оборудования |
Тип |
Заводской (инвентарный) номер |
Класс ТС |
Данные о спец. исследовании и спец. проверке |
|
|
Телефонный аппарат LG-NORTEL |
LDP-7024D |
709THRB015958 |
ВТСС |
Заключение вх. № 407с от 12 августа 2008 г., выдано ЗАО НПП «Регион-РК» |
|
|
Кондиционер «Mitsubishi» |
MSZ - GC22VA |
7061027 Т |
ВТСС |
Заключение вх. № 266с от 28 мая 2008 г., выдано ЗАО НПП «Регион-РК» |
|
|
Система виброакустической и акустической защиты: пьезоизлучатели «ПИ-45» (2 шт.); виброизлучатель «ВИ-45» (1 шт.); аудиоизлучатель «АИ-65» (1 шт.) |
«Соната-АВ» (модель 1М) |
9000405753 9000405755 |
|||
|
Аппаратура дистанционного управления комплексами защиты информации |
«Соната-ДУ» (модель ДУ2mini) |
5000101371 |
|||
|
Размыкатель слаботочных линий «УК-ВК/02» |
б/н |
||||
|
Источник вторичного электропитания резервированный «Парус-3» |
б/н |
||||
|
Сетевой фильтр |
б/н |
||||
|
Извещатель охранный объемный оптико-электронный «ФОТОН-9» |
ИО409-8 |
б/н |
|||
|
Извещатель пожарный дымовой «ДИП-34А» |
ИП-212-34А |
б/н |
|||
|
Извещатель охранный оптико-электронный поверхностный «ФОТОН-Ш» |
ИО309-7 |
б/н |
|||
|
Акустический извещатель разбития стекла |
«Стекло-3» |
б/н |
Проведем моделирование угроз безопасности информации (таблица 4).
Таблица 4
|
Способ проникновения |
Относительная сложность |
|
|
Окна в кабинетах |
10 |
|
|
Окна в кабинете начальника |
10 |
|
|
Внутренние двери организации |
10 |
|
|
Основной вход в здание |
10 |
|
|
Запасной вход в здание |
10 |
Сделаем оценку угрозы физического проникновения. Оценка реальности пути проникновения производится по формуле:
, (2)
где - оценка реальности пути;
- суммарная сложность пути проникновения.
Теперь рассчитаем величину угрозы каждому из элементов защищаемой информации при данном пути проникновения (таблица 5):
, (3)
где - величина угрозы, у.е.;
- оценка реальности пути;
Ц - цена элемента информации, у.е.
Таблица 5
|
Наименование элемента информации |
Величина угрозы, у.е. |
|
|
Акты проверок |
400 |
|
|
База данных предприятий |
1000 |
|
|
Опись документов, находящихся у носителя |
2 |
В данном помещении прослеживаются следующие каналы утечки акустической информации [10]:
? акустическое излучение информативного речевого сигнала;
? электрические сигналы, возникающие при преобразовании информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям, выходящим за пределы КЗ;
? виброакустические сигналы, возникающие при преобразовании информативного акустического сигнала за счет воздействия его на строительные конструкции и инженерно-технические коммуникации ЗП;
? прослушивание телефонных переговоров;
Перехват акустической информации, циркулирующей в кабинете, можно вести с использованием технических средств [10]:
? из-за границы КЗ из близлежащих строений и транспортных средств;
? при посещении организации посторонними лицами.
Также возможно непреднамеренное попадание защищаемой информации к лицам, не допущенной к ней, но находящимся в пределах КЗ, следующими способом [10]:
? непреднамеренное прослушивание без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем.
3. Разработка комплексной системы защиты информации
3.1 Организация работ по защите конфиденциальной информации
Разработка мер и обеспечение защиты информации осуществляется подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководителями организаций для проведения таких работ [10].
Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей организаций.
Разработка СЗИ может осуществляться как подразделением учреждения (предприятия), так и специализированным предприятием, имеющим лицензии ФСТЭК России и/или ФСБ на соответствующий вид деятельности в области защиты информации [5].
В случае разработки СЗИ или ее отдельных компонентов специализированными организациями в организации-заказчике определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение мероприятий по защите информации.
Разработка и внедрение СЗИ осуществляется во взаимодействии разработчика со службой безопасности предприятия-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможных каналов утечки информации или воздействий на нее и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.
В организации должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.
Рекомендуются следующие стадии создания СЗИ [10]:
? предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
? стадия проектирования (разработки проектов, включающая разработку СЗИ в составе объекта информатизации;
? стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.
В организации должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП.
Защищаемые помещения должны размещаться в пределах КЗ организации. При этом рекомендуется размещать их на удалении от границ КЗ; ограждающие конструкции ЗП (стены, полы, потолки) не должны являться смежными с помещениями других организаций. Не рекомендуется располагать ЗП на первых этажах зданий. Окна помещения рекомендуется оборудовать шторами (жалюзи).
Защищаемые помещения оснащаются сертифицированными по требованиям безопасности информации ОТСС и ВТСС или соответствующими средствами защиты. Эксплуатация ОТСС, ВТСС и средств защиты должна осуществляться в соответствии с эксплуатационной документацией на них.
Специальная проверка ЗП и установленного в нем оборудования с целью выявления, возможно, внедренных в них электронных устройств съема информации (закладочных устройств) проводится, при необходимости, по решению руководителя организации.
Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется оконечные устройства телефонной связи, имеющие прямой выход в городскую АТС, оборудовать сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.
Для исключения возможности скрытного подключения к телефонной сети и прослушивания ведущихся в ЗП разговоров не рекомендуется устанавливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС и (или) абонентов из сторонних организаций.
В случае необходимости, рекомендуется использовать сертифицированные по требованиям безопасности информации цифровые АТС либо устанавливать в эти помещения аналоговые аппараты или цифровые ТА с вмонтированными в них сертифицированными средствами защиты, либо временно отключать ТА от телефонной сети.
Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне.
В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации.
Для снижения вероятности перехвата информации по виброакустическому каналу рекомендуется организационными мерами исключить возможность установки посторонних (внештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).