- •Введение
- •1 Общие сведения о физической защите информации
- •1.1 Определение активов, угроз и уязвимостей
- •1.2 Угрозы физической безопасности
- •1.3 Физическая безопасность в информационной безопасности
- •1.4 Нормативно-правовая основа создания системы физической защиты информации
- •Выводы раздела 1
- •2 Характеристика угроз физической безопасности объекта информатизации
- •2.1 Описание объекта информатизации
- •2.2 Анализ уязвимости объекта информатизации
- •2.3 Описание существующих технологий физической защиты информации объекта информатизации
- •2.4 Разработка модели нарушителя информационной безопасности
- •2.5 Разработка модели угроз информационной безопасности
- •Выводы раздела 2
- •3 Разработка системы физической защиты информации объекта информатизации
- •3.1 Комплекс средств и сил физической защиты информации. Организационные мероприятия и локальные нормативные акты
- •3.2 Комплекс средств контроля доступа для физической защиты информации объекта информатизации
- •3.3 Комплекс средств наблюдения для физической защиты информации объекта информатизации
- •3.4 Оценка защищенности объекта информатизации с учетом разработанных предложений
- •3.5 Расчет экономической эффективности внедрения системы физической защиты информации
- •Выводы раздела 3
- •Заключение
- •Список использованных источников
- •Список сокращений
- •Приложение а Планы этажей корпуса IV Университета СевГу
- •Приложение б Звукоизоляция конструкций
- •Приложение в Взаимосвязь видов и способов дестабилизирующего воздействия на защищаемую информацию с его источниками
Выводы раздела 2
Во втором разделе представлено описание Университета, как объекта информатизации, результаты анализа предметной области.
Выполнен анализ уязвимости объекта информатизации и описание существующих технологий физической защиты информации в Университете.
Представлена модель нарушителя, определен потенциал нарушителей и их возможности.
Представлена модель угроз и изложена используемая стратегия угроз информационным ресурсам Университета.
3 Разработка системы физической защиты информации объекта информатизации
3.1 Комплекс средств и сил физической защиты информации. Организационные мероприятия и локальные нормативные акты
Ввод в эксплуатацию систем защиты информации означает меры, принятые для защиты информации, представленной техническим проектом. К работам по монтажу оборудования обработки информации, технических средств, а также проведение технических мер по защите информации должны допускаться организации, имеющие лицензию ФСТЭК Российской Федерации.
Установщиком или заказчиком проводится закупка сертифицированного изделия технического средства обработки информации (ТСОИ) и проводится специальная проверка не сертифицированных ТСОИ для выявления возможных внедренных электронных подслушивающих устройств («закладок») [27].
По результатам исследований ТСОИ указываются меры по защите информации. При необходимости вносятся изменения в технический проект, который должен быть согласован с установщиком и заказчиком.
Покупка сертифицированных устройств, программное обеспечение и технические средства информации, а также их установка проводится в соответствии с техническим заданием.
Обслуживание (профессиональное) представляет собой организованный контроль безопасности всех мер по защите информации, предоставленный техническим заданием.
Во время установки и сборки ТСОИ и инструментов информационной безопасности особое внимание должно быть уделено обеспечению защиты режима охраняемого объекта.
Для некоторых видов деятельности по организации контроля в этот период включают в себя следующее:
Перед установкой убедитесь, что все смонтированные конструкции скрыты от обзора, в частности, установленное оборудование, наличие различных видов меток и их отличие друг от друга, а также встраиваемые устройства;
Нужно организовывать периодические инспекции зон, выделенных место установки вечером или в нерабочее время в целях выявления подозрительных участков;
Организовать мониторинг хода исполнения всех видов установочных работ в помещении и в здании. Основная функция контроля состоит в подтверждении правильности технологии монтажных работ и их соответствие техническому заданию;
Организовать осмотр мест и объектов, конструкций, которые по технологии должны быть закрыты других структур. Такой контроль может быть юридически организован под предписание необходимости проверки качества монтажа и материалов, или тайно;
Нужно внимательно проверить соответствие монтажных схем и число установленных проводов технического проекта. Особое внимание следует обратить на входной каскад проводной связи и кабелей в области выделенной памяти. Все заложенные до резервного копирования провода и кабели необходимы, чтобы наложить их на план-схему с указанием местоположения в начале и в конце.
Перед установкой в выделенном помещении средства информатизации, мебель и предметы интерьера, технические устройства и офисное оборудование должны быть проверены на отсутствие подслушивающих устройств. В то же время желательно проверить технические средства на сопутствующее электромагнитное излучение. Эту проверку преимущественно проводят в специально оборудованном помещении или на месте с помощью специального оборудования.
После установки и монтажа технической защиты информации необходимо провести опытную эксплуатацию в сочетании с другими средствами аппаратного и программного обеспечения с целью проверки их работы при обработке (передаче) информации.
По результатам опытной эксплуатации проводятся приемо-сдаточные испытания решений в области проектирования информационной безопасности и составляется соответствующий акт.
После завершения ввода в эксплуатацию системы безопасности, проводится аттестация объектов информатизации и выделенных помещений для требований безопасности. Это процедура официального подтверждения сложных мер по повышению эффективности осуществляемых на объекте средств защиты информации.
При необходимости по решению руководителя организации, имеющие соответствующую лицензию ФСБ России, могут осуществлять поиск электронных устройств подслушивания, возможно, встроенных в выделенном пространстве.
Необходимо также проводить периодически специальные инспекции и тестирование специализированных технических средств и информационных технологий.
При устройстве систем информационной безопасности имеет большое значение разработка концепции управления информационной безопасностью. Потому что от контроля и эффективного управления зависит эффективное функционирование сложившейся системы защиты информации.
С точки зрения сотрудничества, каждый производитель выполняет только часть работы, поэтому для достижения результата общими усилиями требуется связь и координация деятельности всех членов совместного рабочего процесса. Управление устанавливает согласованность между индивидуальными работами и выполняет основные функции, связанные с работой всей организации. Таким образом, управление устанавливает общую связь и единство действий всех членов совместного производственного процесса для достижения общих целей организации. Это суть управления технологическими процессами [28].
Анализируя рынок защиты данных, были выбраны наиболее подходящие и приемлемые средства физической защиты информации для определенных каналов утечки на объекте информатизации. Выбраны места размещения защиты информации и данных и использованы различные методы, применяемые для защиты.
Как показывает практика, создание системы информационной безопасности является частью производственного процесса, и еще нужно хорошее управление, чтобы достичь эффективности.
Ответственным за разработку и осуществление политики управления информационной безопасностью является начальник службы безопасности Университета, который несет ответственность за ее реализацию и рассмотрение в соответствии с установленными процедурами. Указанная процедура обеспечивает реализацию политики управления информационной безопасностью в соответствии с изменениями, которые влияют на основу первоначальной оценки риска, появление новых уязвимостей или изменений в организационной или технологической инфраструктуре. Периодические обзоры следует проводить ежегодно, и они включают в себя:
проверки эффективности политики, основанной на характере, количестве и последствиях сообщений об инцидентах нарушения безопасности;
определение стоимости мероприятий по управлению и защите информации;
оценке воздействия изменений в технологии.
Руководители структурных подразделений объекта информатизации несут ответственность за определение защиты ресурсов и осуществление мероприятий по управлению информационной безопасностью в организации. В каждый блок назначается ответственное лицо (администратор) для каждого информационного актива, в чьи ежедневные обязанности входит обеспечение безопасности актива.
Необходимо определить владельцев всех основных средств и определить их ответственность за поддержание надлежащих мер для управления информационной безопасностью. Каждый актив должны быть четко определен и классифицирован с точки зрения безопасности, владельцы должны быть авторизованы и данные о них задокументированы. Кроме того, следует отметить фактическое расположение актива.
Система доступа представляет собой набор правил и норм, определяющих, какие приоритеты у пользователей и на какие категории документов можно дать разрешение на введение [29].
Сотрудники компании получают доступ к конфиденциальной информации на добровольной основе. Эти отношения устанавливаются при принятии гражданина на работу или в процессе трудовой деятельности. Необходимо выполнить следующие условия:
ознакомить работника под роспись с перечнем конфиденциальной информации;
ознакомить работника под роспись с режимом, установленным в организации для защиты информации и мер ответственности за его нарушение;
создать необходимые условия для соблюдения сотрудниками установленного режима для защиты конфиденциальной информации.
В целях обеспечения уверенности в осведомленности пользователей о вопросах, связанных с информационной безопасностью, они должны быть осведомлены обо всех мерах безопасности в связи с выполнением служебных обязанностей, пользователи должны быть обучены процедурам безопасности и правильному использованию средств обработки информации, чтобы минимизировать возможные риски для безопасности.
Все сотрудники должны быть осведомлены о процедурах в случае различных видов нарушения безопасности (нарушение безопасности, угроза, уязвимости, или отказ), которые могут негативно повлиять на безопасность активов организации. Сотрудники должны немедленно сообщать о любых наблюдаемых или предполагаемых характерных инцидентах их непосредственному руководителю или администратору службы безопасности.
Ответственным за организацию подготовки и оказание технической помощи в организации физической защиты информации на объекте информатизации является администратор службы безопасности.