2.2. Требования к оформлению графической части курсового проекта

2.2. Требования к оформлению графической части курсового проекта

Графическая часть курсового проекта состоит из:

• план помещения и размещения оборудования (С1);

• схемы информационных потоков (С2);

• топологическую схемы информационной системы (С3).

Схемы С2, С3 могут быть приложением к пояснительной записке, поэтому они оформляется бумаге формата А4 или А3. Схемы С2, С3 могут так же находится в тексте пояснительной записки. Схема С1, являясь самостоятельным документом, оформляется на ватмане формата А1 карандашом. Разрешается выполнять схемы с помощью ЭВМ.

При выполнении схем необходимо соблюдать все требования ЕСКД.

3. Содержание разделов пояснительной записки

3.1. Перечень разделов пояснительной записки

1. Введение;

2. Создать и описать объект защиты;

3. Охарактеризовать информацию на объекте;

4. Выявить возможные пути проникновения злоумышленника к объекту защиты (построить семантическую сеть);

5. Выявить возможные каналы утечки информации (акустический, оптический, радиоэлектронный, вещественный);

6. Рассчитать вероятность распознавания информации с помощью технических средств наблюдения;

7. Рассчитать громкость акустической информации в возможных точках приема и определить риск подслушивания;

8. Выбрать инженерно-технические меры защиты;

9. Выводы по работе.

3.2. Требования к содержанию разделов пояснительной записки.

Во введение пояснительной записки описывается современное состояние ИТЗИ, тенденции развития методов и способов защиты.

Создание и описание объекта защиты

Моделирование объектов защиты предусматривает опреде­ление источников с защищаемой информацией и разработку моде­лей материальных объектов защиты.

Источники защищаемой информации определяются путем ее структурирования. Можно предложить иные, более простые пути определения источников, например, составить списки допущен­ных к закрытой информации должностных лиц, документов, про­дукции и других источников защищаемой информации. Однако такой способ определения источников информации не гарантиру­ет полноту учета всех источников, требуемую системным подхо­дом.

Структурирование информации представляет собой мно­гоуровневый процесс детализации и конкретизации тематичес­ких вопросов перечней сведений. Например, тематический воп­рос перечня сведений «перспективные разработки» на более ниж­нем уровне иерархии разделяется на «направления разработок», ниже — тематика, далее разработчики, документы и т. д. Процесс структурирования продолжается до уровня иерархии, информация на котором содержится в одном конкретном источнике (должност­ном лице, документе, продукции т. д.). Одни и те же источники мо­гут содержать информацию разных тематических вопросов, а ин­формация разных источников по некоторым тематическим вопро­сам может пересекаться.

Источники информации в помещениях размещаются или отоб­ражаются:

• на столах помещения;

• в ящиках письменных столов помещения;

• в книжных шкафах помещения;

• в металлических шкафах помещений;

• в компьютерах;

• на экранах монитора и телевизора;

• на плакатах или экранах видеопроекторов, укрепляемых на сте­нах во время онференций, совещаний и других мероприятий по обсуждению вопросов с закрытой информацией.

Выбор объекта защиты должен быть обусловлен следующими факторами:

• ценностью циркулирующей информации;

• возможность посещения объекта сотрудниками организации и посетителями организации;

• наличием различных радио- и электроприборов, которые могут быть источниками ПЭМИН;

• возможность проведения на объекте демонстраций продукции, документов, плакатов, аудио- и видеоматериалов;

• наличие элементов интерьера и мебели, в которые легко спрятать закладные устройства.

Характеристика информации на объекте.

№ п/п	вид информации	источник информации	максимальная цена информации	место нахождение источника информации на объекте
1	семантическая документальная	документы	очень высокая	в сейфе, на стола, на плакатах, на стене, на экране монитора, плакатах, доске, экране видеопроектора
2	семантическая речевая акустическая	люди	очень высокая	в кабинете
3	семантическая речевая, читаемая по губам	люди	средняя	в кабинете
4	видовые признаки	продукция	средняя	на столе, изображения на плакатах, экране монитора, телевизора, видеопроектора
5	видовые признаки	люди	низкая	в кабинете
6	видовые признаки	вещества и материалы	очень низкая	на столах
7	вещественные признаки	Продукция:
		- химического производства	средняя	на столах
		- других производств	низкая	на столах
8	вещественные признаки	материалы	очень высокая	на столах

Выявление возможных путей проникновения злоумышленника к объекту защиты (построение семантической сети).

Моделирование угроз безопасности информации предусмат­ривает выявление угроз и их анализ с целью оценки возможного ущерба в случае их реализации. Определение значений показате­лей угроз информации представляет достаточно сложную задачу в силу следующих обстоятельств:

• добывание информации нелегальными путями не афиширует­ся и фактически отсутствуют или очень скудно представлены в литературе реальные статистические данные по видам угроз бе­зопасности информации.

• оценка угроз информации основывается на прогнозе действий органов разведки. Учитывая скрытность подготовки и проведе­ния разведывательной операции, их прогноз приходится прово­дить в условиях острой информационной недостаточности;

• многообразие способов, вариантов и условий доступа к защища­емой информации существенно затрудняет возможность выяв­ления и оценки угроз безопасности информации. Каналы утеч­ки информации могут распространяться на достаточно большие расстояния и включать в качестве элементов среды распростра­нения труднодоступные места;

• априори не известен состав, места размещения и характеристи­ки технических средств добывания информации злоумышлен­ника.

Учитывая существенные различия процессов реализации уг­роз воздействия и утечки информации, моделирование угроз целе­сообразно разделить на:

• моделирование каналов несанкционированного доступа к защи­щаемой информации источников преднамеренных и случайных воздействий;

• моделирование технических каналов утечки информации.

Градации вероятностей перехода: ом – очень малая, м – малая, с – средняя, в – высокая, ов – очень высокая

Рубеж защиты. Состояние 0 – открыто (свободный проход); состояние 1 – закрыто без технических средств защиты; состояние 2 – закрыто с использованием технических средств защиты.

Узел защиты. Состояние 0 - свободный проход/проезд; состояние 1 - закрытый проход/проезд с включенными средствами охраны.

Выявление возможных каналов утечки информации (акустических, оптических, радиоэлектронных, вещественных и др.).

Оптические:

1. Просматриваемость помещений из окон противоположных домов.

2. Близость к окнам деревьев.

3. Отсутствие на окнах занавесок, штор, жалюзи.

4. Просматриваемость содержания документов на столах со сторон окон, дверей, шкафов в помещении.

5. Просматриваемость содержания плакатов на стенах помещения для совещания из окон и дверей.

6. Малое расстояние между столами сотрудников в помещении.

7. Просматриваемость экранов мониторов ПЭВМ на столах сотрудников со стороны окон, дверей или других сотруд­ников.

8. Складирование продукции во дворе без навесов.

9. Малая высота забора и дырки в нем.

10. Переноска и перевозка образцов продукции в открытом виде.

11. Появление возле территории организации (предприятия) посторонних людей (в том числе в автомобилях) с биноклями, фотоаппаратами, кино- и видеокамерами.

Акустические:

1. Малая толщина дверей и стен помещения.

2. Наличие в помещении открытых вентиляционных отверстий

3. Отсутствие экранов на отопительных батареях.

4. Близость окон к улице и ее домам.

5. Появление возле организации людей с достаточно большими сумками, длинными и толстыми зонтами.

6. Частая и продолжительная парковка возле организации чужих автомобилей.

Радиоэлектронные:

1. Наличие в помещении радиоэлектронных средств, ПЭВМ, ТА городской и внутренней АТС, громкоговорителей трансляционной сети и других предметов.

2. Близость к жилым домам и зданиям иных организаций.

3. Использование в помещении средств радиосвязи.

4. Параллельная прокладка кабелей в одном жгуте при раз­водке их внутри здания и на территории организации.

5. Отсутствие заземления радио- и электрических приборов.

6. Длительная и частая парковка возле организации чужих автомобилей, в особенности с сидящими в машине людьми.

Вещественные:

1. Отсутствие закрытых и опечатанных ящиков для бумаги и твердых отходов с демаскирующими веществами.

2. Применение радиоактивных веществ.

3. Неконтролируемый выброс газов с демаскирующими ве­ществами, слив в водоемы и вывоз на свалку твердых отходов.

4. Запись сотрудниками конфиденциальной информации на неучтенных листах бумаги.

Потенциальные каналы утечки определяются для каждого ис­точника информации, причем их количество может не ограничиваться одним или двумя. Все выявленные потенциальные каналы утечки информации и их характеристики записываются в таблицу следующего вида:

Источник информации	Путь утечки информации	Вид канала	Длина канала	Риск утечки	Величина ущерба
1	2	3	4	5	6
…	…	…	…	…	…

В графе 2 указываются основные элементы канала утечки информации (источника сигналов, среды распространения и возможные места размещения приемника сигналов). По физической природе носителя определяется вид канала утечки информации, который указывается в столбце 3. По расстоянию между источником сигнала (информации) и приемником сигнала (получателя) определяется длина канала, значение которой вписывается в графу столбца 4. Риск утечки информации (столбец 5) по рассматриваемому каналу оценивается близостью параметров канала и сигнала на входе его приемника к нормативным значениям, при которых риск (вероятность) утечки ниже допустимого значения. Он зависит от совокупности факторов, влияющих на характеристики ка­нала утечки: разрешающей способности приемника сигналов, их энергетики, вероятности выполнения временного условия разведывательного контакта средства добывания с источником информации. Моделирование угроз безопасности информации завершается их ранжированием в таблице.

Расчет вероятности распознавания информации с помощью технических средств наблюдения.

Возможны следующие оптические каналы утечки информа­ции из кабинета руководителя:

• объект наблюдения в кабинете — окно кабинета — окно противоположного дома — оптический прибор злоумышленника;

• объект наблюдения в кабинете— приоткрытая дверь— зло­умышленник;

• объект наблюдения в кабинете — телевизионное закладное ус­тройство — проводной или радиоканал — телевизионный при­емник злоумышленника.

Вероятность обнаружения объектов наблюдения в кабинете и их распознавания зависит от количества и информативности видо­вых демаскирующих признаков. Эти признаки добываются из изоб­ражения объекта наблюдения на сетчатке глаза, фотоснимке, фото­чувствительной поверхности оптического приемника. Количество признаков зависит от:

• разрешающей способностью оптического приемника;

• масштаба изображения относительно реального объекта.

Минимальные размеры элемента изображения объекта наблю­дения на светочувствительном элементе, наблюдаемого в виде точ­ки, определяются как h  D/Rf, где D — дальность от светоприемника до объекта наблюдения, f— фокусное расстояние объекти­ва оптического приемника.

Р ассчитать вероятность распознавания объекта можно по следующей формуле:

где R – разрешающая способность технического средства наблюдения, которая рассчитывается по формуле: (R_o – разрешающая способность объектива; R_э – разрешающая способность фоточувствительного элемента), f – фокусное расстояние объектива, Н – линейный размер объекта, D – удаленность объекта наблюдения от средства наблюдения.

Расчет громкости акустической информации в возможных точках приема и определить риск подслушивания.

Утечка речевой информации возможна по следующим прямым (без ретранслятора) акустическим техническим каналам:

• источник речевого сигнала — стена в соседнее помещение — акустический приемник злоумышленника;

• источник речевого сигнала — приоткрытая дверь в приемную — акустический приемник;

• источник акустического сигнала — закладное устройство — радиоканал — радиоприемник злоумышленника;

• источник акустического сигнала — стекло окна — модулированный лазерный луч — фотоприемник лазерной системы под­слушивания;

• источник акустического сигнала — воздухопровод — акустический приемник;

• источник акустического сигнала — случайный акустоэлектрический преобразователь в техническом средстве — побочное излучение технического средства — радиоприемник;

• источник акустического сигнала — случайный акустоэлектрический преобразователь в техническом средстве — проводные кабели, выходящие за пределы контролируемой зоны;

• источник акустического сигнала — воздушная среда помещения — диктофон у злоумышленника.

Для оценки угроз речевой информации необходимо оценить уровень акустического сигнала в возможных местах размещения акустического приемника злоумышленника. Такими местами являются:

• приемная;

• коридор

• смежные с кабинетом помещения;

• помещения с трубами отопления, проходящими через кабинет;

• помещения, акустически связанные с кабинетом через воздуховоды вентиляции.

Кроме того, речевая информация в кабинете может ретранслироваться по радиоканалу или проводам телефонной линии и электропитания закладными устройствами и побочными электромагнитными излучениями основных и вспомогательных технических средств и систем, а также средствами лазерного подслушивания.

Оценка угрозы акустического канала утечки информации при подслушивании человеком производится по формуле: L_п = L_и – Q_с – L_ш. При применении технического акустического приемника эта величина увеличивается на 6 дБ.

Таблица. Расчет громкость речи в точках подслушивания в кабинете руководителя.

Спокойный разговор	50-60	стены и двери в приемную	27	приемная	~ 30
Громкая речь	60-70	стена и дверь в коридор	51	коридор	35-40
Шумное совещание	70-80	стена в смежную комнату	40	соседнее помещение	20-25
		межэтажное перекрытие	50	помещения на верхнем и нижнем этажах	25-30
		вентиляционная коробка	3-7 дБ	в вентиляционном отверстии другого помещения	30
		трубы отопления	25-35	на трубе отопления	30

№ п/п	Место размещения акустического приемника злоумышленника	Уровень громкости	Риск подслушивания
1	приемная	5 - 10	очень высокий
2	коридор	-15 - (-20)	отсутствует
3	соседнее помещение	~ (-5)	низкий
4	верхнее (нижнее) помещение	-5 - (-10)	отсутствует
5	вентиляционный короб	0 - 5	средний
6	трубы отопления	0 - 5	средний

Выбор мер по инженерно - технической защите.

Общие рекомендации

Так как не существует формальных методов синтеза вариантов предотвращения угроз информации, то разработка мер по защите информации проводится эвристическим путем на основе знаний и опыта соответствующих специалистов. Перечень типовых спосо­бов и средств защиты информации приведен в таблице.

Таблица 1

Угрозы и спо­собы их реа­лизации	Типовые способы и средства предотвращения угроз
1	2
Физический контакт зло­умышленника с источником информации	Механические преграды (заборы, КПП, двери, взломостойкие стекла, решетки на окнах, хранилища, сей­фы), технические средства охраны, телевизионные средства наблюдения, дежурное и охранное освещение, силы и средства нейтрализации угроз
Пожар	Технические средства пожарной сигнализации, средс­тва пожаротушения, огнестойкие хранилища и сейфы
Наблюдение	Маскировочное окрашивание, естественные и искусст­венные маски, ложные объекты, аэрозоли, пены, радио­локационные отражатели, радио- и звукопоглощающие покрытия, теплоизолирующие материалы, генераторы радио- и гидроакустических помех
Подслушива­ние	Скремблирование и цифровое шифрование, звукоизо­лирующие конструкции, звукоизолирующие материа­лы, акустическое и вибрационное зашумление, обнару­жение, изъятие и разрушение закладных устройств
Перехват	Выполнение требований по регламенту и дисципли­не связи, отключение источников опасных сигналов, фильтрация и ограничение опасных сигналов, приме­нение буферных устройств, экранирование, пространс­твенное и линейное зашумление
Утечка ин­формации по вещественно­му каналу	Учет и контролируемое уничтожение черновиков, маке­тов, брака, сбор и очистка от демаскирующих веществ отходов

Рекомендуемые способы и средства защиты информации зано­сятся в таблицу, вариант которой приведен в таблицу 2.

Таблица 2

Угроза	Спосо­бы предо­твраще­ния угрозы	Средс­тва пре­дотвра­щения угрозы	Затраты на предо­твраще­ния угроз	Выбран­ные способы и средства предотвра­щения угроз	Затраты на выбран­ные спосо­бы и средс­тва
1	2	3	4	5	6

В итоговой части проекта (служебной записке, предложениях) целесообразно оценить полноту выполнения задач по защите ин­формации для выделенных ресурсов, а также нерешенные задачи и необходимые для их решения ресурсы.

После принятия проекта (предложений) начинается этап их ре­ализации. Основные задачи специалистов по защите информации заключаются в контроле за работами по выполнению организаци­онных и технических мероприятий, участие в приемке результатов работ и проверке эффективности функционирования элементов и системы защиты в целом.

Меры по предотвращению проникновения злоумышленника к источникам информации.

Так как проникновение злоумышленника возможно через дверь в приемную, то в ночное время необходимо создать допол­нительный рубеж и контролируемую зону в приемной Для этого целесообразно разместить извещатели.

Меры по защите речевой информации от подслушивания.

Для защиты от подслушивания речевой информации в при­емной необходимо существенно повысить звукоизоляцию дверей как наиболее слабого звена в акустической защите и стены до, по крайней мере, до 55 дБ на частоте 1000 Гц. Такая звукоизоляция обеспечивается двойной дверью с тамбуром шириной не менее 20 см с уплотнителями по периметру дверных полотен. Для пре­дотвращения утечки информации через ограждения кабинета воз­можны 3 варианта:

• повышение поверхностной плотности ограждения;

• установление дополнительной перегородки;

• зашумление ограждения.

С учетом рассмотренного в качестве мер предотвращения под­слушивания рекомендуется:

• установка двойной двери с уплотнительными прокладками и тамбуром глубиной 30 см;

• увеличение толщины стены между кабинетом и приемной, а также соседними помещениями на 0,5 кирпича;

• установка на батареи отопления резонаторных экранов или из­лучателей генератора виброакустического зашумления;

• закрытие окна плотными шторами, установка на стекла окон излучателей генератора виброакустического зашумления (для предотвращения лазерного подслушивания при закрытых окнах);

• установка перед воздухозаборниками воздухопроводов акусти­ческих экранов;

• установка датчиков комплекса обнаружения скрытно работающего диктофона PDTR-18 под столешницу стола руководителя возле стула для посетителя и стола заседания;

• применение устройств для подавления сигналов скрытно рабо­тающего диктофона.