Комплексная система защиты информации ООО ЧОП «ЗаЩИТа»

1. Описание объекта защиты

1.1. Структура организации

Объектом  защиты в данной курсовой работе будет  являться ООО ЧОП «ЗаЩИТа». Предприятие занимается охранной деятельностью на основании лицензии № 205 от 28 ноября 2007г., выданной УВД по Белгородской области. Предприятие предоставляет услуги по установке проводных и беспроводных ОПС, создание охранных систем для объектов недвижимости с выводом на пульт. Схема размещения объекта на местности представлена в приложении 1.

 Структура организации имеет следующий вид:

Рис. 1. Организационная структура

Объектом  защиты будет являться выделенное помещение. На схеме оно условно обозначено цифрой 2. План объекта защиты и его расположение относительно других помещений представлен в приложении 2.

 

 

1.2. Определение перечня  информации

Перечень общедоступной  информации, циркулирующей на предприятии:

– информация об уставе организации, правилах внутреннего трудового  распорядка дня и правил техники  безопасности при работе с персональной техникой;

– информация о занимаемых должностях сотрудников, ФИО и их рабочих телефонах;

– информация о графике  работы организации.

Перечень информации ограниченного  доступа:

– личная информация о сотрудниках  и их должностных инструкциях;

– информация о поставках  техники для распределяемых предприятий;

– информация о финансовой деятельности организации (бухгалтерский  учет и заработной платы сотрудников);

– информация о сетевых  настройках компьютеров и серверов;

– клиентская база данных;

– информация о документах организации.

 

1.3.Описание помещения до проведения мероприятий по защите информации

Кабинет содержит такие технические  средства передачи, обработки и хранения информации, как:

• телефон, подключенный к городской АТС;
• телефон, подключенный к внутреобъектовой АТС (для связи с секретарем);
• персональный компьютер для отображения конфиденциальной информации, представляемой на носителях или по локальной сети (в состав PC входят такие аппаратные части, представляющие наибольшую опасность с точки зрения перехвата конфиденциальной информации, как центральный процессор  запоминающее устройство (ОЗУ), привод CD-ROM(RW)).
• принтер, факс.

Эксплуатируемое слаботочное  оборудование:

- система пожарной сигнализации;

- система электроосвещения  и электроснабжения

Помещение оснащено различными элементами комфорта.

 

2. Возможные каналы утечки информации

Разработка практических рекомендаций по проведению мероприятий, направленных на достижение требуемого уровня безопасности, возможна лишь после всестороннего изучения объекта защиты. Кроме того, необходимо рассмотреть месторасположение организации (в частности определить прилегающие к территории здания, проходящие рядом с территорией дороги, учесть места наибольшего скопления людей и места стоянки автотранспортных средств).

Рассматривая общий план местности можно предположить, что  наиболее опасными, с точки зрения установки аппаратуры перехвата  информации, вне территории КЗ, будут  являться:

– дорога – 150-200 м;

– стоянка – 70-100 м;

– здания магазина – 10-20м.

При определении наиболее вероятных мест установки средств  разведки необходимо проанализировать не только месторасположение рассматриваемой  организации, но и возможные каналы утечки конфиденциальной информации, возникающие в результате эксплуатации различного рода оборудования.

К электромагнитным относятся каналы утечки информации, возникающие за счет различного вида побочных электромагнитных излучений ТСПИ:

–  излучений элементов ТСПИ;

– излучений на частотах работы высокочастотных (ВЧ) генераторов ТСПИ; 
– излучений на частотах самовозбуждения усилителей низкой частоты (УНЧ) ТСПИ.

Вибрационные  технические каналы утечки информации.

В вибрационных технических  каналах утечки информации средой распространения  акустических сигналов являются конструкции  зданий, сооружений (стены, потолки, полы), трубы водоснабжения, отопления, канализации и другие твердые тела. Для перехвата акустических колебаний в этом случае используются контактные микрофоны (стетоскопы).

Электроакустические технические каналы утечки информации.

Электроакустические технические  каналы утечки информации возникают  за счет электроакустических преобразований акустических сигналов в электрические  и включают перехват акустических колебаний  через ВТСС, обладающих «микрофонным эффектом», а также путем «высокочастотного навязывания».   

 

3. Анализ инженерно-технической укрепленности

объекта исследования.

Помещение ООО ЧОП «Защита» относятся к классу защищенности БI, в соответствие с РД 78.36.006 – 2005.

Характеристика конструктивных элементов помещений:

1. Характеристики дверной  конструкции.

Дверная конструкция 3 класса защиты (высокая степень защиты объекта от проникновения):

дверь, соответствующая категории  и классу устойчивости У-1 и выше по ГОСТ Р 51242-98; дверь, соответствующая классу устойчивости ГБ по ГОСТ Р 51224-98; дверь металлическая с толщиной наружного и стального внутреннего листа обшивки не менее 2 мм.

2. Характеристики оконной конструкции

Оконная конструкция 1 класса защиты (минимально необходимая степень защиты объекта от проникновения) - окна с обычным стеклом (стекло марки М4 -М$ по ГОСТ 111-2001, толщиной от 2,5 до 8,0 мм).

3. Характеристики строительных конструкций

Строительная  конструкция 2 класса защиты (средняя степень защиты объекта от проникновения): кирпичная стена толщиной 250 мм по СНиП 3.03.01-87; пустотная железобетонная плита толщиной 220, 260 и 300 мм по ГОСТ 9561-91 из легкого бетона и толщиной 160 мм из тяжелого бетона;

4. Характеристики запирающего устройства

Запирающее устройство 1 класса защиты (минимально необходимая  степень защиты объекта от проникновения).

Врезной и накладной  замки: 1 класса по ГОСТ 5089-97; сувальдный (не менее 6 сувальд для врезного или 5 для накладного замка); штифтовый (не менее 6 кодовых штифтов); пластинчатый (не менее 6 кодовых пластин); дисковый (не менее 6 кодовых дисков); электромагнитные с усилием на отрыв - 150 кг.

Сечение засова механического  замка не менее 250 мм², длина головки не менее 30 мм. Материал засова: сталь, сплав алюминия, латунь.

 

 

4. Анализ угроз безопасности информации

Идентификация, классификация, анализ угроз и уязвимостей позволяют  определить пути реализации атак на объекты  защиты.

Под угрозой  безопасности информации в КС понимают событие или действие, которое может вызвать изменение функционирования КС, связанное с нарушением защищенности обрабатываемой в ней информации.

Уязвимость информации  — это возможность возникновения на каком-либо этапе жизненного цикла КС такого ее состояния, при котором создаются условия для реализации угроз безопасности информации. 

Все источники угроз имеют  разную степень опасности (К_оп)_i, которую можно количественно оценить, проведя их ранжирование. При этом оценка степени опасности проводится по косвенным показателям. В качестве критериев сравнения будем брать:

1. Возможность возникновения источника (К₁)_i ,который определяет:  

 – особенности обстановки.

– степень доступности к защищаемому объекту (для антропогенных источников);

– удаленность от защищаемого объекта (для техногенных источников);

2. Готовность источника (К₂)_i ,который определяет:

– степень привлекательность совершения деяний со стороны источника угрозы (для антропогенных источников);

– степень квалификации совершения деяний со стороны источника угрозы (для антропогенных источников);

– наличие необходимых условий (для техногенных и стихийных источников).

3. Фатальность (К₃)_i – определяет степень неустранимости последствий реализации угрозы.

Каждый показатель оценивается  по пятибалльной системе.1 соответствует самой минимальной степени влияния оцениваемого показателя на опасность использования источника, а 5 - максимальной.

Ранжирование проводится по следующей шкале:

– 1-3 балла – 6-й ранг

– 3,5-5 баллов – 5-й ранг

–5,5-7 баллов – 4-й ранг

– 7,5-9 баллов – 3-й ранг

– 9,5-11 баллов – 2-й ранг

–11,5-13 баллов – 1-й ранг.

Таблица №1

Ранжирование угроз

№ п/п	Вид угрозы ИБ	Возможность возникновения  источника (К1)i					Готовность источника (К2)i				Фатальность (К3)i	Ранг угрозы
		К1-1		К1-2	К1-3	Среднее значение	К2-1	К2-2	К2 3	Среднее значение	Среднее значение
	Внешние угрозы
1.1	Антропогенные угрозы
	Технический персонал	2		2	-	2	3	-	2	2,5	2	4
	Потенциальные преступники	1		2	-	1,5	3	-	2	2,5	2	2
	Представители надзорных  организаций и аварийных служб	4		1	-	2,5	4	-	2	3	2	3
1.2	Техногенные угрозы
	Сети инженерных коммуникаций	1		1	-	1	-	-	4	4	2	4
	Средства связи	1		1	-	1	-	-	3	3	2	4
	Транспорт	3		3	-	3	-	-	3	3	2	3
	Тех.средства скрытого съема  информации	2		2	-	2	-	-	3	3	3	3
1.3	Стихийные угрозы
	Пожары		2	1	5	4	-	-	3	3	5	1
	Землетрясения		1	5	2	4	-	-	1	1	5	2
	Наводнения		1	5	1	3,5	-	-	1	1	5	2
	Ураганы		1	5	1	3,5	-	-	1	1	5	2
	Различные непредвиденные обстоятельства		2	1	4	3,5	-	-	3	3	5	1
	Необъяснимые явления		2	1	5	4	-		1	1	5	2
	Другие ЧС		2	1	5	4	-	-	1	1	5	2
Внутренние угрозы
2.1	Антропогенные угрозы
	Основной персонал (пользователи)	5		5	5	5	2	-	5	3,5	3	1
	Вспомогательный персонал (уборщики, охрана)	2		5	-	3,5	1	-	2	1,5	2	4
	Технический персонал (жизнеобеспечение, эксплуатация)	4		5	-	4,5	2	-	3	2,5	2	3
	Стажеры (студенты)	2		4	-	3	1	-	1	1	1	5
2.2	Техногенные угрозы
	Некачественные технические  средства обработки информации	1		5	-	3	-	-	3	3	2	3
	Основные тех.средства ЗИ	1		5	-	3	-	-	3	3	2	3
	Некачественные программные  средства обработки информации	1		5	-	3	-	-	3	3	2	3
	Вспомогательные средства (охраны, сигнализации, телефоны)	1		5	-	3	-	-	3	3	1	4
	Другие тех. средства	1		5	-	3	-	-	3	3	1	4

 

 Из полученных результатов  видно, что самыми опасными угрозами  для информации ограниченного доступа являются: в первую очередь персонал организации. Наименьшую угрозу защищаемой информации представляет вспомогательный персонал.

 

 

5. Модель нарушителя

В соответствии с ГОСТ Р 51624-00 «угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее».

Нарушитель – это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства. Злоумышленником принято называть нарушителя, намеренно идущего на нарушение из корыстных побуждений.

При разработке модели нарушителя определяются:

– предположения о категориях лиц, к которым может принадлежать нарушитель;

– предположения о мотивах действий нарушителя (преследуемых нарушителем яслях);

– предположения о квалификации нарушителя и его технической оснащенности «б используемых для совершения нарушения методах и средствах);

– ограничения и предположения о характере возможных действий нарушителя.

 

Таблица №2

Модель возможных нарушителей

 

№ п\п	Возможности нарушителя по технологическому процессу	Потенциальная группа нарушителей	Возможный результат НСД
1	Запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации	Большинство пользователей АС, имеющих  непосредственный доступ в помещения, к АРМ, с полномочиями, ограниченными на уровне системы защиты информации (СЗИ)	Доступ пользователя к информации другого пользователя в его отсутствие, в т.ч. через сеть, просмотр информации на мониторе. Просмотр и хищение бумажных носителей.
2	Управление функционированием  АС, т.е. воздействие на базовое программное  обеспечение ОС и СУБД, на состав и конфигурацию оборудования АС, на настройки СЗИ. Работа с внешними носителями.	Администраторы АС, наделенные неограниченными  полномочиями по управлению ресурсами.	Доступ администратора АС к информации других пользователей и к средствам  СЗИ, непреднамеренное разрушение информации
3	Весь объем возможностей лиц, осуществляющих ремонт технических средств АС.	Обслуживающий персонал АС. Специалисты  сторонних  организаций, осуществляющих поставку и монтаж оборудования для АС	Доступ обслуживающего  персонала  АС к МН с информацией других пользователей, разрушение информации, установказакладных устройств ОТСС