Синева О. В., методист гбпоу «Поволжский государственный колледж». Методические рекомендации по выполнению курсового проекта являются частью учебно-методического комплекса (умк) по профессиональному модулю пм.

ГЛАВА 1 МЕТОДИКА АНАЛИЗА УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ НА ОБЪЕКТАХ ИНФОРМАТИЗАЦИИ ОРГАНОВ ВНУТРЕННИХ ДЕЛ 1.1 Определение характеристики объекта информатизации ОВД, с точки зрения защиты информации Важным этапом в методике разработки проекта систем инженерно-технической защиты информации на объекте информатизации органа внутренних дел является определение характеристик защищаемого объекта. Прежде чем принять какое-либо решение о необходимом уровне защиты, следует понять, что именно надо защищать и  в каких условиях. Часто этот важный шаг пропускают, и системы безопасности разрабатывают таким образом, что создают избыточную защиту несущественного имущества или не обеспечивают защиту важных частей объекта. Система, спроектированная с большим запасом надежности, может оказаться чрезмерно дорогой, а возможные последствия неадекватной защиты - разрушительными. Таким образом, очень важно, чтобы объект был полностью изучен с учетом налагаемых ограничений, рабочих процессов и условий деятельности. При определении характеристик объекта должна быть собрана информация по возможно большему числу связанных с ним вопросов. Вначале это представляется очень сложной и многоплановой задачей, однако известно несколько аспектов, на которых следует сосредоточить внимание, чтобы получить нужную информацию. Они включают в себя: Физические условия; Специфика работы организации; Должностные инструкции и подведомственные нормативно-правовые акты; Требования органов государственного регулирования и вышестоящего руководства; Вопросы аварийной безопасности. 1. 2 Разработка модели угроз защищаемой информации Для обеспечения защиты информации необходимо знать, какие убытки можно понести в случае потери информации. Очевидно, что затраты на защиту не должны превышать возможных убытков при потере информации. Таким образом, необходимо ввести меру ценности информации, то есть определить, в каком смысле следует понимать ее ценность. Сформулируем свойства информации, которые определяют ее ценность. Фундаментальными свойствами безопасности информации являются конфиденциальность, целостность, доступность. Конфиденциальность определяется как свойство информации, которое состоит в том, что она не может быть доступной для ознакомления пользователям и/или процессам, не имеющим на это соответствующих полномочий. Целостность информации – это свойство, которое состоит в том, что она не может быть доступной для модификации пользователям и/или процессам, не имеющим на это соответствующих полномочий. Целостность информации может быть физической и/или логической. Доступность информации – это свойство, которое состоит в возможности ее использования по требованию пользователя, имеющего соответствующие полномочия. Под угрозами понимаются пути реализации действий, которые считаются опасными. Например, угроза снятия информации и перехват излучения с дисплея ведет к потере конфиденциальности, угроза пожара ведет к нарушению целостности и доступности информации, угроза разрыва канала передачи информации может привести к потере доступности. В общем случае модель угрозы защищаемой информации представлена на рисунке 1: Способы реализации угрозы Деструктивное действие Объект воздействия Уязвимость объекта Рисунок 1 - Общая схема угрозы защищаемой информации Потенциальными объектами атак нарушителя в объекте информатизации органа внутренних дел могут быть: 1.   Штатные аппаратные средства при использовании их санкционированными пользователями не по назначению и за пределами своих полномочий; 2.   Штатные аппаратные средства при использовании их посторонними лицами; 3.   Технологические пульты управления; 4.   Внутренний монтаж аппаратуры; 5.   Линии связи (коммуникаций) между аппаратными средствами АС; 6.   Побочные электромагнитные излучения и наводки аппаратных и телекоммуникационных средств обработки, и передачи информации АС, побочные наводки информации в сети электропитания и заземления аппаратуры АС, побочные наводки информации по цепям вспомогательных инженерных и других посторонних коммуникаций в отдельных помещениях и на территории АС; 7.   Отходы обработки информации в виде бумажных, магнитных и других носителей в мусорной корзине; 8.   Программное обеспечение; 9.   Другие возможные потенциальные каналы несанкционированного доступа и несанкционированного влияния. Угрозы информации при разработке модели угроз удобно рассматривать с точки зрения их любого нежелательного действия и возможного нарушения свойств защищенности информации. Таким образом, угроза – это потенциально возможное неблагоприятное воздействие на информацию, которое приводит к нарушениям хотя бы одного из приведенных свойств. 1.3 Выявление каналов утечки информации Утечку информации в общем плане можно рассматривать как неправомерный выход конфиденциальных сведений за пределы организации или круга лиц, которым эти сведения были доверены. По своей сущности утечка информации всегда предполагает противоправное (тайное или явное, осознанное или случайное) овладение конфиденциальной информацией, независимо от того, каким путем это достигается. Виды каналов утечки информации (по виду опасного сигнала): Оптические; Акустические; Электрические; Электромагнитные. Выявление каналов утечки информации возможно посредством: Проверка помещений, объектов информатизации, информационных систем, автомобилей и технических средств специализированной аппаратурой. Создание системы защиты информации. Установка технических средств защиты информации. Выявление способов утечки информации на объекте информатизации органа внутренних дел достигается посредством анализа потенциально возможных угроз информации, который в свою очередь является одним из первых и обязательных этапов разработки любой защищенной информационной системы. При этом составляется как можно более полная совокупность угроз, анализируется степень риска при реализации той или иной угрозы, после чего определяются направления защиты информации с в конкретном объекте информатизации. При определении угроз защищаемой информации на объекте информатизации следует определять не только масштаб возможных последствий при утечке информации, но и источники утечки информации. Для каждого конкретного помещения объекта информатизации органа внутренних дел существует свой набор технических средств, которые могут создавать опасные сигналы и способствовать их распространению, т.е. служить источниками утечки. Эти технические средства можно разделить на две основные группы: Основные технические средства. Вспомогательные технические средства и системы. Каналы утечки информации можно классифицировать на функциональные и специальные. Основное отличие этих двух категорий состоит в том, что функциональные каналы утечки информации объективно существуют на каждом объекте и их наличие вполне прогнозируемо. Специальные каналы утечки информации специально создаются вероятным противником с целью перехвата информации. Для выявления как функциональных, так и специальных каналов утечки информации разработан и выпускается ряд технических средств. Данная аппаратура обобщенно называется - поисковой. Существует достаточно четкая классификация поисковой аппаратуры. Исходя из того, какие каналы можно выявить при помощи поисковых технических средств, их можно подразделить на две группы: Аппаратура для выявление каналов утечки информации (работа по функциональным каналам). Аппаратура для выявления и локализации технических средств перехвата информации (работа по специальным каналам). Необходимость рассмотрения данного материала вызвана тем, что, как правило, руководство служб безопасности и технические специалисты групп поиска зачастую игнорируют вопросы выявления функциональных каналов утечки информации, всецело посвящая себя работе по специальным каналам. Иными словами, они уделяют основное внимание поиску подслушивающих устройств, в то время как в выделенных помещениях существуют более реальные угрозы - такие как шахты вентиляции, выходящие за зону контроля, щели в ограждающих конструкциях и т.д. Опыт проведения поисковых мероприятий на различных объектах говорит о том, что практически в 90 % случаев в выделенных помещениях выявляются функциональные каналы утечки информации, в то время как специальные каналы существуют в 10 % случаев. Из статистики видно, что почти в каждом выделенном помещении объекта информатизации существует потенциальная возможность перехвата информации. Этому есть объективное обоснование. Во-первых, задействовать функциональные каналы выгодно с экономической точки зрения, во вторых риск несомненно меньший, т.к. нет необходимости проникать на объект. Таким образом, выявление функциональных каналов утечки информации выделенных помещений и последующая защита информации по этим каналам является залогом эффективности системы защиты информации на объекте. Выводы по главе Подводя итог можно отметить, что методика анализа угроз безопасности информации на объектах информатизации органа внутренних дел состоит в определении характеристик объекта с точки зрения защищаемой информации, которое характеризуется такими аспектами, как физические условия; специфика работы организации; должностные инструкции и подведомственные нормативно-правовые акты; требования органов государственного регулирования и вышестоящего руководства; вопросы аварийной безопасности и так далее. Так же методика анализа угроз безопасности информации состоит в разработке модели угроз защищаемой информации, которая представляет собой алгоритм действий нарушителя по отношению к потенциальным объектам его атак. Важным аспектом методики анализа угроз безопасности информации является выявление каналов утечки информации, включающая в себя виды каналов утечки информации, методы выявления каналов утечки информации. ГЛАВА 2 ОПРЕДЕЛЕНИЕ СРЕДСТВ ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫХ ДЛЯ ЗАЩИТЫ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ОВД Разработка предложений по защите информации на объекте информатизации ОВД В качестве примера объекта информатизации выступает кабинет начальника ОВД, так как в нем наиболее вероятно будет осуществляться циркулирование конфиденциальной информации. В качестве примера объекта информатизации выступает кабинет начальника ОВД, так как в нем наиболее вероятно будет осуществляться циркулирование конфиденциальной информации. На рисунке 2 представлен план кабинета начальника ОВД: ШАБЛОН МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЙ ДЛЯ СТУДЕНТОВ ПО ВЫПОЛНЕНИЮ КУРСОВОГО ПРОЕКТА TV Рисунок 2 - План кабинета начальника ОВД В таблице 1 представлены условные обозначения к рисунку 2 – модели кабинета начальника ОВД: Условные обозначения к рисунку 2 Таблица 1 № п/п Условное обозначение Название объекта 1 Стул 2 TV Телевизор 3 Дверь 4 Телефонный аппарат 5 Персональный компьютер 6 Отверстие вентиляции 7 Платяной шкаф 8 Розетка 9 Сейф 10 Окно 11 Радиатор центрального отопления 12 Рабочее кресло 13 Цепь электропитания В таблице 2 представлены технические характеристики кабинета начальника ОВД: Характеристики кабинета начальника ОВД Таблица 2 № п/п Наименование характеристики Значение 1 Назначение помещения Кабинет начальника ОВД 2 Режим посещения Начальник ОВД, сотрудники в присутствии начальника ОВД. 3 Площадь 50 м2 4 Капитальные стены Железобетонная панель, толщина - 300 мм 5 Окна (число, характер рам, стекла) 2 пластиковых окна, 2 форточки, рамы пластиковые 6 Двери Дверное полотно, размер 200х120 мм, выполненное из цельного дерева. 7 Смежные помещения, их назначение, материал стен, толщина. Слева – кабинет начальника полиции ОВД, справа – кабинет юрисконсульта, материал стен – железобетонные панели, толщина 300 мм. 8 Смежные помещения вверху, их назначение, материал перекрытия, толщина Кабинет начальника тылового обеспечения, железобетонная панель, толщина – 300 мм 9 Смежные помещения внизу, их назначение, материал перекрытия, толщина Дежурная часть ОВД, железобетонная панель, толщина – 300 мм 10 Вентиляционные отверстия, их размер 1 отверстие, 220х160 мм 11 Инженерные системы (отопления, канализация, водоснабжение) 2 радиатора центрального отопления с вертикальными подводными трубами 12 Звукопоглощающие конструкции, место их установки, материал изготовления Подвесной потолок, материал – акустические плиты «Акмигран» 500х500 мм, глубина межпотолочного пространства – 300 мм 13 Цепи электропитания, число розеток, напряжение 220 В, 50 Гц, 6 розеток 14 Телефон, тип аппарата, место установки, тип кабеля 2 абонентских телефонных линии городской АТС: 1- PANASONIC KX-TS2350RUB, 2 - PANASONIC KX-TС1703, беспроводной, с режимом «громкая связь»; 1 выделенная телефонная линия для связи с УВД - PANASONIC KX-TS2350RUB, тип кабеля: ТРП-2 15 Персональный компьютер, место установки, наличие локальной сети 1 персональный компьютер, станция локальной сети ОВД 16 Бытовые электроприборы Телевизор LG 2LA643V c функцией видеопроигрывателя 17 Технические средства охранно-пожарной сигнализации 3 потолочных датчика пожара – ИП-212-9 18 Предметы интерьера Рабочее кресло, сейф, 2 платяных шкафа, 10 стульев, письменный стол В целях защиты кабинета от утечки информации актуальны следующие предложения: так как проникновение злоумышленника возможно через дверь в кабинет, необходимо создать защитный рубеж. Для этого на дверь из коридора в кабинет устанавливается магнитоконтактный извещатель типа СМК-3, стоимостью 200 рублей, или более современные ИО-104-4, стоимостью 600 рублей. Датчик ИО-104-4 имеет меньшие габариты. Эти извещатели обеспечивают замыкание и размыкание контактов геркона при приближении магнита к геркону на расстояние не более 10 мм контакты и удалении более 45 мм. В кабинете начальника ОВД устанавливаем ИО-104-4 В кабинете можно установить пассивный оптикоэлектронный, ультразвуковой, радиоволновый и комбинированный извещатели. Выбор производится по таким характеристикам, как помехоустойчивость, объёму кабинета и затрат на приобретение и эксплуатацию. Средства охраны кабинета при отсутствии на рабочем месте руководителя организации целесообразно сохранять во включённом состоянии. Для обеспечения такого режима необходимо использовать блоки бесперебойного питания. Учитывая небольшую площадь кабинета, целесообразно применять или пассивные оптико-электронные извещатели или активные волновые с регулируемой мощностью излучения. В качестве таких средств могут использоваться оптико-электронный извещатель «Фотон-5», стоимостью 500 рублей, ультразвуковой «Эхо-2», стоимостью 400 рублей, радиоволновой объёмный «Волна-5», стоимостью 2000 рублей, и комбинированный извещатель «Сокол-2», стоимостью 1500 рублей, совмещающий пассивный инфракрасный и радиоволновой принципы обнаружения. Последний обеспечивает дальность действия: минимальную – 3-5 м, максимальную – 12 м. Он может крепиться к стене или на потолке, имеет высокую помехоустойчивость. Из сравнительного анализа указанных извещателей можно сделать вывод о том, что наиболее дешёвым извещателем с приблизительно равными функциональными возможностями является оптико-электронный извещатель «Фотон-5». По критерию эффективность/стоимость лучшие показатели имеет комбинированный извещатель «Сокол-2». Кроме рассмотренных средств целесообразно установить локальные извещатели для охраны компьютера. Для защиты информации в компьютере от физического контакта его со злоумышленником и хищения информации путём копирования или изъятия винчестера в качестве извещателя можно использовать ёмкостной извещатель «Пик», стоимостью 1000 рублей, или извещатель «АЛАРТ», последний имеет большую стоимость, при одинаковой эффективности. Для механической защиты системный блок с винчестером может быть размещён в специальном сейфе под приставным столиком или использоваться съёмный винчестер, помещаемый в сейф. Используем извещатель «Пик» в кабинете начальника ОВД. Для защиты информации от наблюдения применяются методы энергетического скрытия путём увеличения затухания среды распространения. Для прекращения функционирования оптического канала утечки информации «окно кабинета – окно противоположного жилого дома» можно применить следующие меры: Шторы на окна; Жалюзи; Тонированные плёнки на стёклах. В кабинете начальника ОВД используем жалюзи, стоимостью 2000 рублей. Для защиты от утечки речевой информации в кабинете необходимо существенно повысить звукоизоляцию дверей как наиболее слабого звена в акустической защите и стены по крайней мере, до 55 дБ на частоте 1000 Гц. Такая звукоизоляция обеспечивается двойной дверью с тамбуром шириной не менее 20 см с уплотнителями по периметру дверных полотен. В качестве меры, повышающей энергетическое скрытие речевой информации в кабинете, на стенах могут быть укреплены виброакустические излучатели акустического генератора помех «Барон». Наиболее актуально установить этот прибор в кабинете начальника ОВД, так как он более эффективный и менее громоздкий, хоть и с большей стоимостью 10000 рублей. Для исключения утечки информации через батареи и трубы отопления перед батареями устанавливают резонансные экраны в виде деревянных перегородок с отверстиями, или используются виброакустические преобразователи прибора «Барон». В соотношении эффективности и цены наиболее рационально использовать средство «Барон». Для предотвращения утечки информации через вентиляционное отверстие, пред ним укрепляют экран и (или) размещают в нём глушитель звука, выполненный из пористого материала. Для исключения возможности функционирования скрыто установленного диктофона применяем средство «Бубен», стоимостью 12000 рублей, или «Хамелеон XL», стоимостью 23000, последний имеет наибольшую площадь зашумления, выходящую за пределы кабинета начальника ОВД, в результате чего оснащаем кабинет средством «Бубен». В целях подавления сотовых сигналов во время конфиденциальных совещаний в кабинете необходимо предусмотреть генератор шума «Аллигатор 100+4G LTE», с помощью которого возможно подавить сигнал 3G и 4G сети, стоимостью 14000 рублей, или ПБ-4G, стоимостью 18000 рублей, последний прибор охватывает наибольшую площадь, и имеет наибольшую стоимость, в кабинете начальника ОВД используем прибор «Аллигатор 100+4G LTE». Необходимо установить средство подавления сигналов акустоэлектрических преобразователей телефонных аппаратов типа «Корунд», стоимостью 1400 рублей или «Гранит-VIII» - ограничителей малых амплитуд с фильтрами от ВЧ-навязывания, стоимостью 2000 со сравнительно одинаковыми характеристиками. С экономической точки зрения оснащаем кабинет начальника средством «Корунд». Путем сложения цен выбранных устройств получаем сумму 46 500 рублей. С учётом рассмотренного в качестве мер предотвращения подслушивания рекомендуется: Установка виброакустических генераторов шума изделия «Барон» на окна, двери и батареи. Закрытие окон с помощью жалюзи, установка на стёкла окон излучателей генератора виброакустического зашумления (для предотвращения лазерного подслушивания при закрытых окнах изделия «Барон»). Установка перед воздухозаборниками воздухопроводов акустических экранов, выполненных из пористого материала. Применение устройств для подавления сигналов скрытно работающего диктофона изделием «Бубен». Предотвращение утечки информации из кабинета по радиоэлектронному каналу обеспечивается: Выключением во время разговора всех радиосредств и электрических приборов, без которых можно обойтись. Установкой в разрыв цепей электропитания возле стен сетевых фильтров для исключения ВЧ-навязывания. Установкой средств подавления сигналов акустоэлектрических преобразователей телефонных аппаратов типа «Корунд» или «Гранит-VIII» - ограничителей малых амплитуд с фильтрами от ВЧ-навязывания. Установить генератор шума «Аллигатор 100+4G LTE», в целях подавления сотовых сигналов. На рисунке 3 представлен кабинет начальника ОВД, оснащенный вышеперечисленными средствами инженерно-технической защиты информации: Рисунок 3 - План кабинета начальника ОВД, оснащенная средствами ИТЗИ В таблице 3 представлены условные обозначения к рисунку 3 – план кабинета начальника ОВД, оснащенная средствами ИТЗИ: Условные обозначения к рисунку 3 Таблица 3 № п/п Условное обозначение Название объекта 1 Сокол-2 Комбинированный извещатель «Сокол-2» 2 Барон Акустический генератор помех «Барон» 3 Магниито-контактный извещатель ИО-104-4 4 Аллигатор Генератор шума «Аллигатор 100+4G LTE» 5 корунд Подавитель сигналов акустоэлектрических преобразователей телефонных аппаратов «Корунд» 6 сф Сетевой фильтр 7 Жалюзи 8 Пик Емкостный извещатель «Пик» Стоит обратить внимание и на организационные меры по защите информации. К ним относятся: Организацию охраны помещений и разработку пропускного режима; Ограничение доступа в помещения, где размещены серверы автоматизированной системы управления; Хранение носителей информации и бумажной документации в сейфах или других защищенных местах; Установку мониторов компьютеров, клавиатуры, принтеров таким образом, чтобы исключить возможность просмотра или копирования информации посторонними лицами; Ликвидацию ненужных носителей информации и документов; Уничтожение всей информации на жестких дисках компьютеров, где были установлены компоненты системы, перед их отправкой в ремонт; Проведение регулярных проверок по соблюдению всех правил, положений и инструкций, связанных с обеспечением информационной безопасности.

Похожие:

	Дерявская С. Н., методист гбпоу «Поволжский государственный колледж».... Составитель: Зайцева Вера Александровна, преподаватель гбпоу «Поволжский государственный колледж»		Заболоцкая Т. И., методист гбоу спо «пгк». Методические рекомендации... Фгос спо по специальности 151031 Монтаж и техническая эксплуатация промышленного оборудования (по отраслям)
	Методические рекомендации по выполнению курсового проекта пм. 01... Методические рекомендации по выполнению курсового проекта являются частью учебно-методического комплекса (умк) по пм. 01 Организация...		«поволжский государственный колледж» методические рекомендации по... Методические рекомендации печатаются по решению Методического совета гбпоу «Поволжский государственный колледж» №9 от 12. 02. 2015...
	Методические рекомендации по выполнению курсовой работы пм. 01 Предоставление турагентских услуг Методические рекомендации по выполнению курсовой работы являются частью учебно-методического комплекса (умк) по пм. 01 Предоставление...		Методические рекомендации по выполнению курсовой работы пм. 01 Ведение расчетных операций Методические рекомендации по выполнению курсовой работы являются частью учебно-методического комплекса (умк) по пм. 01 Ведение расчетных...
	Методические рекомендации по организации и прохождению учебной (производственной)... Государственное автономное профессиональное образовательное учреждение краснодарского края		Методические рекомендации по организации и прохождению производственной... Государственное бюджетное профессиональное образовательное учреждение краснодарского края
	Методические рекомендации по подготовке и прохождению государственной итоговой аттестации Методические рекомендации по подготовке и прохождению Государственной итоговой аттестации являются частью учебно-методического комплекса...		Методические рекомендации по прохождению производственной практики... Методические рекомендации по организации и прохождению производственной практики являются частью учебно-методического комплекса (умк)...
	Методические рекомендации по выполнению дипломного проекта специальности:... Методические рекомендации печатаются по решению Методического Совета гбпоу «пгк» №12 от 19. 01. 2016 г		Составители: Целикова В. Я., преподаватель специальных дисциплин... Методические указания по выполнения лабораторных работ являются частью ппссз гбпоу «спк» по специальности 23. 02. 01 Организация...
	Методические рекомендации по написанию курсового проекта по профессиональному... Курсовой проект призван закрепить и расширить теоретические знания, полученные на лекциях и практических занятиях		Методические указания по выполнению курсового проекта по дисциплине «Ремонт автомобилей» Методические указания по выполнению курсового проекта по дисциплине Ремонт автомобилей. Специальность 190604. 51 Техническое обслуживание...
	Методические указания по каждому практическому занятию включают в... Составитель: Панкова Анастасия Алексеевна, преподаватель гбпоу «Поволжский государственный колледж»		Методические указания по каждому практическому занятию включают в... Составитель: Панкова Анастасия Алексеевна, преподаватель гбпоу «Поволжский государственный колледж»