Разработка системы информационной защиты объекта

 

2. Анализ безопасности системы

2.1. Возможные каналы утечки информации.

Каналы утечки информации, методы и пути утечки информации из информационной системы играют основную роль в защите информации, как фактор информационной безопасности.

Канал утечки информации –  совокупность источника информации, материального носителя или среды  распространения несущего указанную  информацию сигнала и средства выделения информации из сигнала или носителя. Одним из основных свойств канала является месторасположение средства выделения информации из сигнала или носителя, которое может располагаться в пределах контролируемой зоны, охватывающей или вне ее.

Все каналы утечки данных можно разделить на косвенные и прямые. Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы. Прямые соответственно требуют доступа к аппаратному обеспечению и данным информационной системы.

В системе УЦ могут быть следующие каналы утечки информации:

1) Акустический канал утечки информации:

- подслушивание разговоров в помещениях, находясь рядом или используя направленные микрофоны;

- негласная запись разговоров на диктофон или магнитофон (в т.ч. цифровые диктофоны, активизирующиеся голосом);

- подслушивание разговоров с использованием выносных микрофонов (дальность действия радиомикрофонов 50-200 метров без ретрансляторов).

2) Электромагнитный канал утечки информации:

- перехват разговоров по мобильному телефону;

- снятие наводок с силовых сетей электропитания;

- снятие наводок с проводов заземления;

- снятие наводок с линий связи между компьютерами;

3) Телефонный канал утечки информации:

- гальванический съем телефонных переговоров (путем контактного подключения подслушивающих устройств в любом месте абонентской телефонной сети);

- телефонно-локационный способ (путем высокочастотного навязывания). По телефонной линии подается высокочастотный тональный сигнал, который воздействует на нелинейные элементы телефонного аппарата (диоды, транзисторы, микросхемы) на которые также воздействует акустический сигнал. В результате в телефонной линии формируется высокочастотный модулированный сигнал;

- индуктивный и емкостной способ негласного съема телефонных переговоров (Индуктивный способ – за счет электромагнитной индукции, возникающей в процессе телефонных переговоров вдоль провода телефонной линии. Емкостной способ – за счет формирования на обкладках конденсатора электростатического поля, изменяющегося в соответствии с изменением уровня телефонных переговоров.);

- подключение к телефонной линии подслушивающих устройств, которые преобразованные микрофоном звуковые сигналы передают по телефонной линии на высокой или низкой частоте (позволяют прослушивать разговор как при поднятой, так и при опущенной телефонной трубке);

- использование телефонных дистанционных подслушивающих устройств;

4) Оптический канал утечки  информации:

- использование фото- и видео-камер ( в т.ч. скрытых);

- наблюдение за персоналом  и офисом без использования  технических средств;

5) Информационный канал  утечки информации:

- прослушивание трафика;

- НСД на сервер под  видом администратора;

- кража информации с  помощью использования шпионского  ПО;

- прямое копирование информации;

6) Кража, утеря носителей  информации:

- физический НСД к оборудованию и носителям информации;

- выпытывание информации  у персонала с использованием  шантажа, пыток, угроз и т.д.;

7) Человеческий фактор:

- болтливость персонала;

- халатность персонала.

Получение защищаемой информации может осуществиться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).

Технические средства съема  информации могут располагаться следующими способами:

- установка средств съема информации в ограждающие конструкции помещений во время строительных, ремонтных и реконструкционных работ;

- установка средств съема информации в предметы мебели, другие предметы интерьера и обихода, различные технические средства как общего назначения, так и предназначенные для обработки информации;

- установка средств съема информации в предметы обихода, которые вручаются в качестве подарков, а впоследствии могут использоваться для оформления интерьера служебных помещений;

- установка средств съема информации в ходе профилактики инженерных сетей и систем. При этом в качестве исполнителя могут быть использованы даже сотрудники ремонтных служб.

 

2.2. Вероятности реализации угроз безопасности информации.

Для определения финансовых рисков необходимо знать стоимость  активов и вероятность осуществление  угрозы, которая может каким-либо повлиять на этот актив.

Информацию об активах  и ее стоимость предоставляет  заказчик. Данная информация предоставлена  в таблице 1 п.1.1.

Вероятность реализации угрозы определяется вербальным способом, т.е. на основе мнений экспертов.

Вероятности реализации угроз  и расчет финансовых рисков представлены в таблицах 5, 6, 7.

 

 

Таблица 5: Вероятности реализации угроз и финансовые риски при  нарушении доступности информации

Угрозы утечки информации при нарушении доступности информации	Вероятность (Y)	Стоимость информации (S)	Информация	Финансовый риск, руб.                       R=Y*S                                        (S - предполагаемая стоимость информации)
Кража оборудования	0,2	600000	Восстановление оборудование, ПДн, ПО, секретного ключа	120000
Кража персональных данных клиентов (удаленно)	0,05	20000	Восстановление ПДн	1000
Кража персональных данных клиентов (физически)	0,05	20000	Восстановление картотеки	1000
Блокирование доступа администраторам	0,05	20000	Восстановление доступа	1000
Блокирование доступа клиентам	0,05	20000	Восстановление доступа	1000
Dos - атаки	0,1	20000	Восстановление системы	2000
Шантаж, подкуп персонала  и т.д., с целью выяснения информации об объекте и(или) ведения преступных действий	0,05	20000	Утеря статуса доверенного УЦ	1000
Внедрение в фирму работника  конкурентом	0,05	20000	Утеря статуса доверенного УЦ	1000
Шантаж, подкуп разработчика  и  т.д., с целью внедрения уязвимостей	0,05	20000	Утеря статуса доверенного УЦ	1000
Отключение электричества	0,2	20000	Простой	4000
Стихийные бедствия (пожары, ураганы  и т.д.)	0,1	525000	Восстановление оборудования, восстановление картотеки, простой	640000
Итого				773000

 

Таблица 6: Вероятности реализации угроз и финансовые риски при нарушении конфиденциальности информации

Угрозы утечки информации при нарушении конфиденциальности информации	Вероятность (Y)	Стоимость информации (S)	Информация	Финансовый риск, руб.                       R=Y*S                                        (S - предполагаемая стоимость информации)
Прослушка через установленные микрофоны	0,1	15000	Информация о клиентах, персонале, оборудовании	1500
Прослушка через улавливание вибрации	0,05	15000	Информация о клиентах, персонале, оборудовании	750
Прослушка через телефон, сигнализацию и сеть	0,1	15000	Информация о клиентах, персонале, оборудовании	1500
Снятие ЭМИ с силовых цепей  электропитания	0,1	15000	Информация о клиентах, персонале, оборудовании	1500
Перехват трафика	0,2	15000	Информация о клиентах, персонале, оборудовании	3000
Установка шпионских программ	0,2	15000	Информация о клиентах, персонале, оборудовании	3000
Удаленный доступ к серверу с  правами администратора	0,2	15000	Информация о клиентах, персонале, оборудовании	3000
Прямое копирование информации	0,2	15000	Информация о клиентах, персонале, оборудовании	3000
Кража оборудования	0,2	600000	Информация о клиентах, персонале, оборудовании	120000
Итого				137250

 

 

 

 

 

Таблица 7: Вероятности реализации угроз и финансовые риски при нарушении целостности информации

Угрозы утечки информации при нарушении конфиденциальности информации	Вероятность (Y)	Стоимость информации (S)	Информация	Финансовый риск, руб.                       R=Y*S                                        (S - предполагаемая стоимость информации)
Изменение баз данных	0,3	20000	Восстановление БД	6000
Удаление баз данных	0,3	20000	Восстановление БД	6000
Подделка электронной подписи	0,05	1000000	Утрата статуса доверенного УЦ	50000
Изменения баз данных	0,05	20000	Восстановление БД	1000
Халатность персонала	0,3	25000	Ремонт оборудования, восстановление БД	7500
Некомпетентность персонала	0,3	25000	Ремонт оборудования, восстановление БД	7500
Итого				78000

 

Общая сумма финансовых рисков составила 988 250 руб.

 

3. План мероприятий по внедрению средств инженерной (физической) безопасности и охраны.

План мероприятий по внедрению средств инженерной (физической) безопасности и охраны, представляю  в таблице 8.

Таблица 8: Список технических  средств безопасности

Очередность реализации	Описание	Перечисление требуемых  ресурсов
1	Для фиксирования попытки проникновения в кабинеты, когда рабочий день окончен	Пломбы с печатью на двери комнат (1), (2), (3)
2	Для фиксирования попытки проникновения в сейф	Пломба с печатью на сейф
3	Необходимо для предотвращения передачи сигнала с помощью жучка	НЧ и ВЧ глушилка в комнату (1) и (2)
4	Для фиксирования, кому и в какое  время выдается ключ	Фиксирование времени выдачи ключей на вахте
5	Для видео фиксации происходящего  в комнатах. Видео сервер необходимо поставить в комнате (1) в серверную  стойку	Камеры видео наблюдения в комнатах (2) и (3)