Создание проекта по внедрению средств защиты персональных данных в информационной системе обработки данных

2.2.1 Возможные угрозы утечки информации

 

Основной угрозой безопасности информации на объекте защиты информации является возможность утечки информации. Утечка информации может быть реализована по оптическому каналу, по акустическому каналу, по электромагнитному каналу и по материально-вещественному каналу.

 

Таблица 1 – Каналы утечки информации

 

Каналы утечки информации с объекта  защиты
1.	Оптический канал	Окно
		Документы на бумажных носителях
2.	Электромагнитный канал	Телефон
		Розетки
		ПЭВМ
		Система пожарной сигнализации
3.	Акустический канал	Стены помещения
		Батареи
		Окно контролируемого помещения
4.	Материально-вещественный канал	Персонал предприятия
		Производственные отходы

 

Более подробно каналы утечки изложены ниже.

 

 

 

 

 

 

2.2.2 Утечка информации по оптическому каналу

 

Утечка информации по оптическому  каналу происходит через непосредственное или удаленное наблюдение за объектом.

Съем информации злоумышленником  по оптическому каналу возможен, через  окно, выходящее на улицу и во двор, двери.

При использовании оптических средств  наблюдения, злоумышленник может осуществить визуальный осмотр объекта через окна. В этом случае в его поле зрения окажутся документы на рабочем столе работника. Следует указать, что окна офиса выходят на улицу и на здания соседних организаций, откуда может вестись наблюдение за объектом защиты. Также человек, вошедший через дверь, может наблюдать документы, находящиеся на рабочем столе работника «ОКС». Поэтому необходимо ввести некоторые средства ЗИ от утечки информации по оптическому каналу.

 

Рисунок 1. Оптический канал утечки информации

 

 

 

 

 

2.2.3 Утечка информации по электромагнитному каналу

 

В условиях данного предприятия  возможны следующие электромагнитные каналы утечки информации:

• микрофонный эффект элементов телефонной связи;
• электромагнитное излучение компьютеров;
• цепи питания и цепи заземления электронных схем;
• съем информации с противопожарной сигнализации;

Поскольку на объекте защиты информации присутствуют различные электрические  приборы, то здесь возможна реализация электромагнитных каналов утечки информации. Злоумышленник может попытаться получить доступ к защищаемой информации, используя побочные электромагнитные излучения электронных приборов, наводки на кабели электрической проводки, а также может использовать оборудование для перехвата побочных электромагнитных излучений.

 

Рисунок 2.Съем информации за счет побочных электромагнитных излучений

 

 

Также в помещении на потолке  установлена противопожарная сигнализация «System Sensor 2151», проводная, что уменьшает риск съема информативного сигнала за счет электромагнитного излучения или применения ВЧ навязывания, так как пульт управления системой находится в самом офисе.

Система электропитания в помещении  выходит за пределы КЗ через соседнее помещение сторонней организации, поэтому необходимо установить сетевые  фильтры, генераторы зашумления из серии ФП-15, ФСПК-10, Цикада-С, чтобы нейтрализовать просачивание информативных сигналов в цепи электропитания.

 

2.2.4 Утечка информации по акустическому каналу

Одним из довольно распространенных каналов утечки информации является акустический канал. Для человека как основного источника соотношение между уровнем громкости и его качественной оценкой характеризуется следующими данными: очень тихая речь (шепот) — 5-10 дБ, тихая речь — 30-40 дБ, речь умеренной громкости — 50-60 дБ, громкая речь — 60-70 дБ, крик — 70-80 дБ и более. Затухание из-за звукопоглощения атмосферой A_atm, дБ, на расстоянии d, м, от источника шума определяют по формуле

где α- коэффициент затухания звука в октавной полосе частот в атмосфере.

Источниками акустического сигнала  могут быть:

• говорящий человек или озвучивающее его речь звуковоспроизводящее устройство;
• механические узлы механизмов и машин, которые при работе создают акустические волны.

Утечка речевой информации возможна по следующим акустическим каналам:

• стена в соседнее помещение, толщина которой составляет 200 мм, стена кирпичная, обшита пластиковыми панелями, что позволяет поглотить большую часть звука, порядка 40 дБ при условии, что разговор ведется на расстоянии не менее 5 метров от стены. И все же возможно применение звукоизолирующих материалов для полного затухания звука, таких как материал "термозвукоизол" обеспечивает изоляцию не менее 55 дБ, что обеспечивает полное поглощение сигнала.
• стекло окна – представляет угрозу безопасности информации, так как возможен съем информации путем использования, модулированного лазерного луча — фотоприемник лазерной системы подслушивания;
• трубы отопления по которым возможно снимать информативный сигнал так как система отопления выходит за пределы КЗ, в частности в подвальное помещение здания. Поэтому необходимо применение шумогенераторов.

Опасность утечки информации представляет стена с дверью и поскольку находясь за ними, злоумышленник может осуществлять съем речевой информации с помощью специальных средств. Также злоумышленник может попытаться осуществить съем речевой информации через окна, используя направленный микрофон. Благодаря наличию окон злоумышленник может прибегнуть к использованию лазерного стетоскопа для снятия виброакустической информации.

Другими возможными техническими каналами утечки речевой информации являются: акустическая закладка и вносимый диктофон.

 

 

 

 

 

 

Рисунок 3.Утечка информации по акустическому каналу

 

Возможно использование                  Подслушивание

фотоприемника лазерной                  через                              акустический

системы подслушивания                   систему                            приемник

                                                    отопления                      

 

 

2.2.5 Утечка информации по материально-вещественному каналу

 

Материально-вещественными каналами утечки информации выступают самые  различные материала в твердом, жидком и газообразном или корпускулярном (радиоактивные элементы) виде.

Материально-вещественный канал утечки информации на данном объекте защиты информации может быть реализован злоумышленником  путем перехвата носителей конфиденциальной информации, как бумажных, так и электронных. Носители могут попасть к злоумышленнику путем его физического проникновения на защищаемый объект, при помощи подкупа персонала, имеющего доступ к защищаемому помещению, путем ошибочного опубликования информации, содержащейся на носителях в общедоступных изданиях или при ошибочном попадании носителя в отходы производственной деятельности.

Для выполнения требований законодательства по персональным данным и устранения возможных угроз безопасности персональных данных нужно реализовать комплекс организационных и технических мероприятий, трудоемкость которых зависит от специфики бизнеса оператора персональных данных

 

 

 

 

 

 

 

3 ОРГАНИЗАЦИЯ СОВЕРШЕНСТВОВАНИЯ ЗАЩИТЫ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ООО «ОКС» И РАСЧЕТ ЭФФЕКТИВНОСТИ ВНЕДРЕНИЯ СИСТЕМЫ ИБ

3.1 Обследование информационных систем

В ходе обследования информационных ресурсов компании «ОКС» осуществляется получение исходной информации об  особенностях обработки персональных данных путем анализа представленных документов и результатов интервьюирования сотрудников.

Перечень проводимых работ:

• разрабатывается перечень информационных систем обработки персональных данных;
• определяется состав и местонахождение персональных данных, обрабатываемых в каждой информационной системе;
• описывается состав и структура информационных систем (состав программного и аппаратного обеспечения, топология, применяемые средства защиты информации);
• обосновывается необходимость использования средств криптографической защиты информации в целях обеспечения безопасности персональных данных;
• проводится предварительная классификация систем обработки персональных данных;
• по результатам предварительной классификации составляется полный перечень организационно-технических мероприятий по защите персональных данных для каждой информационной системы.

осуществляется сбор и анализ документов по обеспечению безопасности информации (положения, руководства, инструкции, парольные политики, правила разграничения доступа, приказы о назначении ответственных по защите ПДн и т.д.).

 

 

 

 

 

 

 

Рисунoк 4. Структурнaя мoдeль зaщищaeмoй инфoрмaции

3.2 Проектирование системы защиты персональных данных

 

На основе разработанной  модели угроз персональных данных формируются  организационно-технические требования, предъявляемые к информационным системам персональных данных. В зависимости  от них определяется класс защиты персональных данных, осуществляется выбор средств защиты (с учетом уже имеющихся в распоряжении) и разработка технического задания и (или) технических условий на создание системы защиты конфиденциальной информации.

Основной целью данного этапа курсовой работы является разработка комплекта шаблонов документации, а так же инженерно-технических средств зашиты.

 

 

 

Перечень необходимых к разработке документов:

Положения:

• о порядке обработки персональных данных;

• о подразделении, осуществляющем функции по организации защиты персональных данных;

• по организации режима и контроля доступа в помещения, в которых установлены аппаратные средства информационных систем персональных данных.

 

Приказы:

• о создании комиссии по классификации информационных систем персональных данных;

• о назначении структурных подразделений, осуществляющих функции по обеспечению безопасности персональных данных;

• об утверждении мест хранения материальных носителей персональных данных.

Планы:

• план мероприятий по защите персональных данных;

• план внутренних проверок состояния защиты персональных данных.

Другие документы:

• перечень сведений конфиденциального характера;

• инструкция о порядке учета, хранения и уничтожения носителей персональных данных на магнитной, магнитооптической и бумажной основе;

• проекты договоров с клиентами и партнерами;

• набор типовых форм документов, используемых при обработке персональных данных.

 

3.3 Технические средства защиты информации

Защита информации от утечки по акустическому  каналу - это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.

Акустические каналы представляют наибольшую опасность для конфиденциальной информации.

В качестве средства виброакустического зашумления можно использовать комплекса средств защиты помещения от утечки по виброакустическому каналу на базе генератора виброакустического шума SELSP-55.

 

Комплекс включает:

• генератор виброакустического шума SELSP-55;
• виброизлучатели электромагнитные SEL SP-55/V (универсальные).

В качестве средства генерации белого шума наиболее целесообразно использовать пассивную акустическую колонку  ПК, поскольку её можно использовать, как часть комплекса на базе SELSP-55.

Система защиты помещений по виброакустическому каналу с эквалайзером SEL SP - 55 является активным техническим средством защиты информации по акустическому и виброакустическому каналам.