Разработка проекта комплексной системы защиты информации ООО «Бухучет Сервис»

Комплексная система защиты информации данного объекта включает в себя следующие основные элементы:

• — правовую защиту информации;
• — организационную защиту информации;
• — инженерно-техническую защиту информации;
• — программно-аппаратную защиту информации;
• — криптографическую защиту информации.

К правовой защите информации на объекте относится:

• — установленный перечень сведений, составляющих конфиденциальную информацию;
• — инструкции по работе с документами, содержащими конфиденциальную информацию;
• — трудовые договора с каждым сотрудником, в которых прописаны условия работы с конфиденциальной информацией и ответственность за ее разглашение.
• — трудовые договора с сотрудниками, непосредственно работающими с конфиденциальной информацией, заключается типовой договор, в котором оговорены все аспекты и особенности работы с конфиденциальной информацией.

Организационный элемент системы защиту информации содержит меры управленческого, ограничительного (режимного) и технологического характера. Данные меры должны побуждать персонал соблюдать правила защиты информации на объекте. Эти меры определяют:

• — ведение всех видов аналитических работ;
• — формирование и организацию деятельности службы безопасности, службы конфиденциальной информации, обеспечение деятельности этих служб нормативно-методической документацией;
• — организацию, составление и регулярное обновление состава защищаемой банком информации. Составление и ведение перечня защищаемых бумажных и электронных документов;
• — формирование разрешительной системы разграничения доступа персонала к конфиденциальной информации;
• — методы отбора персонала для работы с конфиденциальной документацией, методику обучения и инструктирования работников;
• — контроль соблюдения работниками порядка защиты информации;
• — технологию защиты, обработки и хранения бумажных и электронных документов;
• — регламентацию не машинной технологии защиты электронных документов;
• — порядок защиты ценной информации от случайных или умышленных несанкционированных действий персонала;
• — порядок защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе и представителями СМИ;
• — оборудование и аттестацию помещений и рабочих зон, выделенных для работы с конфиденциальной информацией;
• — регламентацию пропускного режима на территории, в здании, помещениях, идентификации транспорта и персонала фирмы;
• — организацию системы охраны территории;
• — регламентацию действий персонала в экстренных ситуациях;
• — регламентацию работы по управлению системой защиты информации.

Элемент организационной защиты является основной частью рассматриваемой комплексной системы защиты. Меры по организационной защите информации составляют 50−60% в структуре большинства систем защиты информации.

Автоматизированная система объекта относится к классу защищенности 1 Г. Для обеспечения программно-аппаратной защиты используется система «SecretNet». SecretNet является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие с требованиями регулирующих документов:

№ 98-ФЗ («о коммерческой тайне»).

№ 152-ФЗ («о персональных данных»).

№ 5485−1-ФЗ («о государственной тайне»).

СТО БР (Стандарт Банка России) Основные возможности комплекса «SecretNet»:

• — поддержка автоматической смены пароля пользователя по истечении заданного интервала времени;
• — разграничение доступа пользователей к ресурсам компьютера с помощью механизмов дискретного и мандатного управления доступом;
• — создание для любого пользователя ограниченной замкнутой среды программного обеспечения (списка разрешенных для запуска программ;
• — управление временем работы всех пользователей;
• — регистрация действий пользователя в системном журнале;
• — защита компьютера от проникновения и размножения вредоносных программ;
• — контроль целостности средств защиты, среды выполнения программ и самих прикладных программ;
• — централизованный мониторинг состояния безопасности информационной системы и управления защитными механизмами;
• — криптографическая защита данных.

К программно-аппаратным средствам защиты информации относится защита персональных компьютеров (ПЭВМ) и средства изготовления и размножения документов (СИРД) от ПЭМИН.

Побочные электромагнитные излучения и наводки (ПЭМИН) это паразитные электромагнитные излучения радиодиапазона, создаваемые в окружающем пространстве устройствами, специальным образом для этого не предназначенными.

В выделенном помещении для исключения ПЭМИН используется генератор шума ГШ-К-1000М. Он предназначен для защиты информации от утечки, обусловленной побочными электромагнитными излучениями и наводками ПЭВМ и других средств обработки информации. Генератор является бес корпусным и устанавливается в PCI слот системного блока ПЭВМ. Генератор имеет внешнюю гибкую рамочную антенну диаметром 50 см. Изделие имеет индикацию работоспособности, в случае неисправности подается звуковой сигнал.

Для защиты СИРД используется ГШ-1000М. В отличие от модели, представленной выше, он имеет корпус и устанавливается непосредственно рядом с СИРД. Его рабочий диапазон такой же, как и у ГШ-К-1000М и составляет 0,1−1000 МГц. Оба прибора имеют сертификаты ФСТЭК.

Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя:

• — сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);
• — средства защиты помещений от визуальных способов технической разведки;
• — средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);
• — средства противопожарной охраны;
• — технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг.

Исходя из перечисленных ранее возможных каналов утечки информации, необходимо смоделировать способы ее защиты.

Таблица 1 Модель защиты информации от утечки по техническим каналам с объекта защиты.

Так как окна выделенного помещения выходят на соседнее здание, то, для исключения утечки информации по оптическому каналу, на окна устанавливается защитная пленка, которая не только исключает возможность просмотра происходящего в помещении через окна, но и поглощает ИК-излучение и является бронированной.

Защита информации от утечки по радиоэлектронному каналу это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за счет электромагнитных полей побочного характера и наводок.

Для линий системы энергоснабжения устанавливается сетевой фильтр помехоподавляющий ФСП-1Ф-7А.

Защита сети 220 осуществляется устройством защиты цепей электросети и заземления SEL SP-41. Оно представляет собой генератор регулируемого шума по электросети и является техническим средством активной защиты от утечки информации по сети электропитания и подавления устройств несанкционированного съёма информации, использующих электросеть в качестве канала передачи. SEL SP-41 имеет сертификат соответствия ФСТЭК № 1445.

Для защиты телефонных линий от абонента до городской телефонной станции (ГТС) или от мини-АТС до ГТС используется многофункциональный модуль защиты телефонных линий SEL SP-17/D. При этом обеспечивается: снижение эффективности (вплоть до полного подавления) гальванически подключенных устройств несанкционированного съёма информации любого типа, средств магнитной записи и параллельных телефонных аппаратов, защита от прослушивания помещений через телефонный аппарат при положенной трубке за счёт использования микрофонного эффекта и высокочастотного (ВЧ) навязывания, а также контроль состояния защищаемой телефонной линии. SEL SP-17/D имеет сертификат соответствия ФСТЭК № 1082.

Защита информации от утечки по акустическому каналу это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.

В данном проекте для защиты информации от утечки по акустическому и виброакустическому каналам используется система защиты помещений по виброакустическому каналу Соната АВ 1 М.

Таким образом, применение указанных средств защиты обеспечит достаточно надежную защиту информации в выделенном помещении по выявленным нами каналам утечки информации.

Разработанная система не только обеспечит надежную защиту информации от утечки по техническим каналам, но и позволит определить попытку несанкционированного доступа к носителям информации.

Но эта система будет неполной без интегрирования с ней системы видеонаблюдения, которая обеспечит визуальный просмотр времени и попыток несанкционированного доступа к информации и обеспечит идентификацию личности нарушителя.