- •Санкт-Петербургский технический колледж управления и коммерции
- •Рябуша а.А.
- •Методические указания для студентов
- •По выполнению курсового проекта
- •1. Курсовое проектирование – общие сведения
- •1.1. Общие положения и требования
- •1.2. Тематика курсового проектирования
- •1.3. Структура курсового проекта
- •2. Содержание разделов пояснительной записки
- •2.1. Требования к оформлению пояснительной записки
- •2.1.1. Общие требования к выполнению текстовых документов
- •2.1.2. Правила изложение текста пояснительной записки
- •2.1.3. Оформление иллюстраций
- •2.1.4. Оформление приложений
- •2.1.5. Оформление таблиц
- •2.2. Требования к оформлению графической части курсового проекта
- •2.2. Требования к оформлению графической части курсового проекта
- •3. Содержание разделов пояснительной записки
- •3.1. Перечень разделов пояснительной записки
- •3.2. Требования к содержанию разделов пояснительной записки.
- •Предотвращение перехвата радио- и электрических сигналов
- •4. Порядок выполнения курсового проекта
- •5. Брошюровка материалов курсового проекта
- •6. Рекомендуемая литература
- •График работы над курсовым проектом
- •Фгоу спо технический колледж управления и коммерции
- •2.Специальная часть
- •Размещение текста на листе пояснительной записки
2.2. Требования к оформлению графической части курсового проекта
2.2. Требования к оформлению графической части курсового проекта
Графическая часть курсового проекта состоит из:
план помещения и размещения оборудования (С1);
схемы информационных потоков (С2);
топологическую схемы информационной системы (С3).
Схемы С2, С3 могут быть приложением к пояснительной записке, поэтому они оформляется бумаге формата А4 или А3. Схемы С2, С3 могут так же находится в тексте пояснительной записки. Схема С1, являясь самостоятельным документом, оформляется на ватмане формата А1 карандашом. Разрешается выполнять схемы с помощью ЭВМ.
При выполнении схем необходимо соблюдать все требования ЕСКД.
3. Содержание разделов пояснительной записки
3.1. Перечень разделов пояснительной записки
Введение;
Создать и описать объект защиты;
Охарактеризовать информацию на объекте;
Выявить возможные пути проникновения злоумышленника к объекту защиты (построить семантическую сеть);
Выявить возможные каналы утечки информации (акустический, оптический, радиоэлектронный, вещественный);
Рассчитать вероятность распознавания информации с помощью технических средств наблюдения;
Рассчитать громкость акустической информации в возможных точках приема и определить риск подслушивания;
Выбрать инженерно-технические меры защиты;
Выводы по работе.
3.2. Требования к содержанию разделов пояснительной записки.
Во введение пояснительной записки описывается современное состояние ИТЗИ, тенденции развития методов и способов защиты.
Создание и описание объекта защиты
Моделирование объектов защиты предусматривает определение источников с защищаемой информацией и разработку моделей материальных объектов защиты.
Источники защищаемой информации определяются путем ее структурирования. Можно предложить иные, более простые пути определения источников, например, составить списки допущенных к закрытой информации должностных лиц, документов, продукции и других источников защищаемой информации. Однако такой способ определения источников информации не гарантирует полноту учета всех источников, требуемую системным подходом.
Структурирование информации представляет собой многоуровневый процесс детализации и конкретизации тематических вопросов перечней сведений. Например, тематический вопрос перечня сведений «перспективные разработки» на более нижнем уровне иерархии разделяется на «направления разработок», ниже — тематика, далее разработчики, документы и т. д. Процесс структурирования продолжается до уровня иерархии, информация на котором содержится в одном конкретном источнике (должностном лице, документе, продукции т. д.). Одни и те же источники могут содержать информацию разных тематических вопросов, а информация разных источников по некоторым тематическим вопросам может пересекаться.
Источники информации в помещениях размещаются или отображаются:
на столах помещения;
в ящиках письменных столов помещения;
в книжных шкафах помещения;
в металлических шкафах помещений;
в компьютерах;
на экранах монитора и телевизора;
на плакатах или экранах видеопроекторов, укрепляемых на стенах во время онференций, совещаний и других мероприятий по обсуждению вопросов с закрытой информацией.
Выбор объекта защиты должен быть обусловлен следующими факторами:
ценностью циркулирующей информации;
возможность посещения объекта сотрудниками организации и посетителями организации;
наличием различных радио- и электроприборов, которые могут быть источниками ПЭМИН;
возможность проведения на объекте демонстраций продукции, документов, плакатов, аудио- и видеоматериалов;
наличие элементов интерьера и мебели, в которые легко спрятать закладные устройства.
Характеристика информации на объекте.
№ п/п |
вид информации |
источник информации |
максимальная цена информации |
место нахождение источника информации на объекте |
1 |
семантическая документальная |
документы |
очень высокая |
в сейфе, на стола, на плакатах, на стене, на экране монитора, плакатах, доске, экране видеопроектора |
2 |
семантическая речевая акустическая |
люди |
очень высокая |
в кабинете |
3 |
семантическая речевая, читаемая по губам |
люди |
средняя |
в кабинете |
4 |
видовые признаки |
продукция |
средняя |
на столе, изображения на плакатах, экране монитора, телевизора, видеопроектора |
5 |
видовые признаки |
люди |
низкая |
в кабинете |
6 |
видовые признаки |
вещества и материалы |
очень низкая |
на столах |
7 |
вещественные признаки |
Продукция: |
|
|
- химического производства |
средняя |
на столах |
||
- других производств |
низкая |
на столах |
||
8 |
вещественные признаки |
материалы |
очень высокая |
на столах |
Выявление возможных путей проникновения злоумышленника к объекту защиты (построение семантической сети).
Моделирование угроз безопасности информации предусматривает выявление угроз и их анализ с целью оценки возможного ущерба в случае их реализации. Определение значений показателей угроз информации представляет достаточно сложную задачу в силу следующих обстоятельств:
добывание информации нелегальными путями не афишируется и фактически отсутствуют или очень скудно представлены в литературе реальные статистические данные по видам угроз безопасности информации.
оценка угроз информации основывается на прогнозе действий органов разведки. Учитывая скрытность подготовки и проведения разведывательной операции, их прогноз приходится проводить в условиях острой информационной недостаточности;
многообразие способов, вариантов и условий доступа к защищаемой информации существенно затрудняет возможность выявления и оценки угроз безопасности информации. Каналы утечки информации могут распространяться на достаточно большие расстояния и включать в качестве элементов среды распространения труднодоступные места;
априори не известен состав, места размещения и характеристики технических средств добывания информации злоумышленника.
Учитывая существенные различия процессов реализации угроз воздействия и утечки информации, моделирование угроз целесообразно разделить на:
моделирование каналов несанкционированного доступа к защищаемой информации источников преднамеренных и случайных воздействий;
моделирование технических каналов утечки информации.
Градации вероятностей перехода: ом – очень малая, м – малая, с – средняя, в – высокая, ов – очень высокая
|
Рубеж защиты. Состояние 0 – открыто (свободный проход); состояние 1 – закрыто без технических средств защиты; состояние 2 – закрыто с использованием технических средств защиты. |
|
Узел защиты. Состояние 0 - свободный проход/проезд; состояние 1 - закрытый проход/проезд с включенными средствами охраны. |
Выявление возможных каналов утечки информации (акустических, оптических, радиоэлектронных, вещественных и др.).
Оптические:
Просматриваемость помещений из окон противоположных домов.
Близость к окнам деревьев.
Отсутствие на окнах занавесок, штор, жалюзи.
Просматриваемость содержания документов на столах со сторон окон, дверей, шкафов в помещении.
Просматриваемость содержания плакатов на стенах помещения для совещания из окон и дверей.
Малое расстояние между столами сотрудников в помещении.
Просматриваемость экранов мониторов ПЭВМ на столах сотрудников со стороны окон, дверей или других сотрудников.
Складирование продукции во дворе без навесов.
Малая высота забора и дырки в нем.
Переноска и перевозка образцов продукции в открытом виде.
Появление возле территории организации (предприятия) посторонних людей (в том числе в автомобилях) с биноклями, фотоаппаратами, кино- и видеокамерами.
Акустические:
Малая толщина дверей и стен помещения.
Наличие в помещении открытых вентиляционных отверстий
Отсутствие экранов на отопительных батареях.
Близость окон к улице и ее домам.
Появление возле организации людей с достаточно большими сумками, длинными и толстыми зонтами.
Частая и продолжительная парковка возле организации чужих автомобилей.
Радиоэлектронные:
Наличие в помещении радиоэлектронных средств, ПЭВМ, ТА городской и внутренней АТС, громкоговорителей трансляционной сети и других предметов.
Близость к жилым домам и зданиям иных организаций.
Использование в помещении средств радиосвязи.
Параллельная прокладка кабелей в одном жгуте при разводке их внутри здания и на территории организации.
Отсутствие заземления радио- и электрических приборов.
Длительная и частая парковка возле организации чужих автомобилей, в особенности с сидящими в машине людьми.
Вещественные:
Отсутствие закрытых и опечатанных ящиков для бумаги и твердых отходов с демаскирующими веществами.
Применение радиоактивных веществ.
Неконтролируемый выброс газов с демаскирующими веществами, слив в водоемы и вывоз на свалку твердых отходов.
Запись сотрудниками конфиденциальной информации на неучтенных листах бумаги.
Потенциальные каналы утечки определяются для каждого источника информации, причем их количество может не ограничиваться одним или двумя. Все выявленные потенциальные каналы утечки информации и их характеристики записываются в таблицу следующего вида:
Источник информации |
Путь утечки информации |
Вид канала |
Длина канала |
Риск утечки |
Величина ущерба |
1 |
2 |
3 |
4 |
5 |
6 |
… |
… |
… |
… |
… |
… |
|
|
|
|
|
|
В графе 2 указываются основные элементы канала утечки информации (источника сигналов, среды распространения и возможные места размещения приемника сигналов). По физической природе носителя определяется вид канала утечки информации, который указывается в столбце 3. По расстоянию между источником сигнала (информации) и приемником сигнала (получателя) определяется длина канала, значение которой вписывается в графу столбца 4. Риск утечки информации (столбец 5) по рассматриваемому каналу оценивается близостью параметров канала и сигнала на входе его приемника к нормативным значениям, при которых риск (вероятность) утечки ниже допустимого значения. Он зависит от совокупности факторов, влияющих на характеристики канала утечки: разрешающей способности приемника сигналов, их энергетики, вероятности выполнения временного условия разведывательного контакта средства добывания с источником информации. Моделирование угроз безопасности информации завершается их ранжированием в таблице.
Расчет вероятности распознавания информации с помощью технических средств наблюдения.
Возможны следующие оптические каналы утечки информации из кабинета руководителя:
объект наблюдения в кабинете — окно кабинета — окно противоположного дома — оптический прибор злоумышленника;
объект наблюдения в кабинете— приоткрытая дверь— злоумышленник;
объект наблюдения в кабинете — телевизионное закладное устройство — проводной или радиоканал — телевизионный приемник злоумышленника.
Вероятность обнаружения объектов наблюдения в кабинете и их распознавания зависит от количества и информативности видовых демаскирующих признаков. Эти признаки добываются из изображения объекта наблюдения на сетчатке глаза, фотоснимке, фоточувствительной поверхности оптического приемника. Количество признаков зависит от:
разрешающей способностью оптического приемника;
масштаба изображения относительно реального объекта.
Минимальные размеры элемента изображения объекта наблюдения на светочувствительном элементе, наблюдаемого в виде точки, определяются как h D/Rf, где D — дальность от светоприемника до объекта наблюдения, f— фокусное расстояние объектива оптического приемника.
Р ассчитать вероятность распознавания объекта можно по следующей формуле:
где R – разрешающая способность технического средства наблюдения, которая рассчитывается по формуле: (Ro – разрешающая способность объектива; Rэ – разрешающая способность фоточувствительного элемента), f – фокусное расстояние объектива, Н – линейный размер объекта, D – удаленность объекта наблюдения от средства наблюдения.
Расчет громкости акустической информации в возможных точках приема и определить риск подслушивания.
Утечка речевой информации возможна по следующим прямым (без ретранслятора) акустическим техническим каналам:
источник речевого сигнала — стена в соседнее помещение — акустический приемник злоумышленника;
источник речевого сигнала — приоткрытая дверь в приемную — акустический приемник;
источник акустического сигнала — закладное устройство — радиоканал — радиоприемник злоумышленника;
источник акустического сигнала — стекло окна — модулированный лазерный луч — фотоприемник лазерной системы подслушивания;
источник акустического сигнала — воздухопровод — акустический приемник;
источник акустического сигнала — случайный акустоэлектрический преобразователь в техническом средстве — побочное излучение технического средства — радиоприемник;
источник акустического сигнала — случайный акустоэлектрический преобразователь в техническом средстве — проводные кабели, выходящие за пределы контролируемой зоны;
источник акустического сигнала — воздушная среда помещения — диктофон у злоумышленника.
Для оценки угроз речевой информации необходимо оценить уровень акустического сигнала в возможных местах размещения акустического приемника злоумышленника. Такими местами являются:
приемная;
коридор
смежные с кабинетом помещения;
помещения с трубами отопления, проходящими через кабинет;
помещения, акустически связанные с кабинетом через воздуховоды вентиляции.
Кроме того, речевая информация в кабинете может ретранслироваться по радиоканалу или проводам телефонной линии и электропитания закладными устройствами и побочными электромагнитными излучениями основных и вспомогательных технических средств и систем, а также средствами лазерного подслушивания.
Оценка угрозы акустического канала утечки информации при подслушивании человеком производится по формуле: Lп = Lи – Qс – Lш. При применении технического акустического приемника эта величина увеличивается на 6 дБ.
Таблица. Расчет громкость речи в точках подслушивания в кабинете руководителя.
Спокойный разговор |
50-60 |
стены и двери в приемную |
27 |
приемная |
~ 30 |
Громкая речь |
60-70 |
стена и дверь в коридор |
51 |
коридор |
35-40 |
Шумное совещание |
70-80 |
стена в смежную комнату |
40 |
соседнее помещение |
20-25 |
|
|
межэтажное перекрытие |
50 |
помещения на верхнем и нижнем этажах |
25-30 |
|
|
вентиляционная коробка |
3-7 дБ |
в вентиляционном отверстии другого помещения |
30 |
|
|
трубы отопления |
25-35 |
на трубе отопления |
30 |
№ п/п |
Место размещения акустического приемника злоумышленника |
Уровень громкости |
Риск подслушивания |
1 |
приемная |
5 - 10 |
очень высокий |
2 |
коридор |
-15 - (-20) |
отсутствует |
3 |
соседнее помещение |
~ (-5) |
низкий |
4 |
верхнее (нижнее) помещение |
-5 - (-10) |
отсутствует |
5 |
вентиляционный короб |
0 - 5 |
средний |
6 |
трубы отопления |
0 - 5 |
средний |
Выбор мер по инженерно - технической защите.
Общие рекомендации
Так как не существует формальных методов синтеза вариантов предотвращения угроз информации, то разработка мер по защите информации проводится эвристическим путем на основе знаний и опыта соответствующих специалистов. Перечень типовых способов и средств защиты информации приведен в таблице.
Таблица 1
Угрозы и способы их реализации |
Типовые способы и средства предотвращения угроз |
1 |
2 |
Физический контакт злоумышленника с источником информации |
Механические преграды (заборы, КПП, двери, взломостойкие стекла, решетки на окнах, хранилища, сейфы), технические средства охраны, телевизионные средства наблюдения, дежурное и охранное освещение, силы и средства нейтрализации угроз |
Пожар |
Технические средства пожарной сигнализации, средства пожаротушения, огнестойкие хранилища и сейфы |
Наблюдение |
Маскировочное окрашивание, естественные и искусственные маски, ложные объекты, аэрозоли, пены, радиолокационные отражатели, радио- и звукопоглощающие покрытия, теплоизолирующие материалы, генераторы радио- и гидроакустических помех |
Подслушивание |
Скремблирование и цифровое шифрование, звукоизолирующие конструкции, звукоизолирующие материалы, акустическое и вибрационное зашумление, обнаружение, изъятие и разрушение закладных устройств |
Перехват |
Выполнение требований по регламенту и дисциплине связи, отключение источников опасных сигналов, фильтрация и ограничение опасных сигналов, применение буферных устройств, экранирование, пространственное и линейное зашумление |
Утечка информации по вещественному каналу |
Учет и контролируемое уничтожение черновиков, макетов, брака, сбор и очистка от демаскирующих веществ отходов |
Рекомендуемые способы и средства защиты информации заносятся в таблицу, вариант которой приведен в таблицу 2.
Таблица 2
Угроза |
Способы предотвращения угрозы |
Средства предотвращения угрозы |
Затраты на предотвращения угроз |
Выбранные способы и средства предотвращения угроз |
Затраты на выбранные способы и средства |
1 |
2 |
3 |
4 |
5 |
6 |
|
|
|
|
|
|
|
|
|
|
|
|
В итоговой части проекта (служебной записке, предложениях) целесообразно оценить полноту выполнения задач по защите информации для выделенных ресурсов, а также нерешенные задачи и необходимые для их решения ресурсы.
После принятия проекта (предложений) начинается этап их реализации. Основные задачи специалистов по защите информации заключаются в контроле за работами по выполнению организационных и технических мероприятий, участие в приемке результатов работ и проверке эффективности функционирования элементов и системы защиты в целом.
Меры по предотвращению проникновения злоумышленника к источникам информации.
Так как проникновение злоумышленника возможно через дверь в приемную, то в ночное время необходимо создать дополнительный рубеж и контролируемую зону в приемной Для этого целесообразно разместить извещатели.
Меры по защите речевой информации от подслушивания.
Для защиты от подслушивания речевой информации в приемной необходимо существенно повысить звукоизоляцию дверей как наиболее слабого звена в акустической защите и стены до, по крайней мере, до 55 дБ на частоте 1000 Гц. Такая звукоизоляция обеспечивается двойной дверью с тамбуром шириной не менее 20 см с уплотнителями по периметру дверных полотен. Для предотвращения утечки информации через ограждения кабинета возможны 3 варианта:
повышение поверхностной плотности ограждения;
установление дополнительной перегородки;
зашумление ограждения.
С учетом рассмотренного в качестве мер предотвращения подслушивания рекомендуется:
установка двойной двери с уплотнительными прокладками и тамбуром глубиной 30 см;
увеличение толщины стены между кабинетом и приемной, а также соседними помещениями на 0,5 кирпича;
установка на батареи отопления резонаторных экранов или излучателей генератора виброакустического зашумления;
закрытие окна плотными шторами, установка на стекла окон излучателей генератора виброакустического зашумления (для предотвращения лазерного подслушивания при закрытых окнах);
установка перед воздухозаборниками воздухопроводов акустических экранов;
установка датчиков комплекса обнаружения скрытно работающего диктофона PDTR-18 под столешницу стола руководителя возле стула для посетителя и стола заседания;
применение устройств для подавления сигналов скрытно работающего диктофона.