МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
ЮЖНО-УРАЛЬСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ФАКУЛЬТЕТ ЭКОНОМИКИ И ПРЕДПРИНИМАТЕЛЬСТВА
Курсовая работа
по теории информационной безопасности и методам защиты информации
На тему
«Каналы утечки и методы несанкционированногодоступа к конфиденциальной информации на предприятии»
Работу выполнил студент гр. ЭиП-252Зуев А.И.
Работу проверил Доцент кафедры
Информационная безопасность.
Верхорубов В.В.
Челябинск 2004
Содержание
Аннотация
Введение
1. Защищаемая информация
2. Описание каналов утечки информации
3. Краткая характеристика предприятия ОАО«Челябгипромез»
Заключение
Список использованной литературы
Аннотация
Данную работу можно разделить на две части:
В первой части работы рассматриваются каналы утечки информации,методы и способы съема информации через каждый рассмотренный канал утечки информации,а также рассматриваются методы и способы защиты информации применительно к конкретномуканалу утечки информации.
Во второй части работы приводится краткая характеристика предприятияОАО «Челябгипромез», рассматриваются возможные каналы утечки информациина данном предприятии, а также рассматриваются методы и способы защиты информации.
В конце работы подводится итог уровня общей защищенности предприятияОАО «Челябгипромез».
Введение
Владение информацией во все времена давало преимущества той стороне,которая располагала более точной и обширной информацией, тем более, если это касалосьинформации о своих соперниках.
«Знать наперед намеренияпротивника — это, по сути, действовать как Бог!» — в свое время изрек стратегкитайской мудрости Сунь-цзы. Противниками могут выступать и конкурент, и опытныйпрофессионал, и мощная организованная структура. Взаимоотношения при этом могутбыть вполне цивилизованными и джентльменскими, а могут оказаться до крайности безжалостнымии неэтичными. Мощь интеллекта не аналог морали, так же как не стыкуется с моральюистинный профессионализм.
Рассекречивание закрытой информации какой-либо организации, можетпривести как к небольшим финансовым потерям, так и к полному развалу организации.Следовательно, возникает острая необходимость защиты закрытой информации.
1. Защищаемая информация
Отметим, что законом защищается только документированная информация.Федеральный Закон «Об информации, информатизации и защите информации»определяет это понятие следующим образом:
«Документированная информация (документ) — зафиксированнаяна материальном носителе информация с реквизитами, позволяющими ее идентифицировать».
Документирование информации проводится по строго определеннымправилам. Основные из них изложены в ГОСТ 6.38-90 «Система организационно-распорядительнойдокументации. Требования к оформлению документов.», ГОСТ 6.10.4-84 «Унифицированныесистемы документации. Придание юридической силы документам на машинном носителеи машинограмме, создаваемым средствами вычислительной техники».
Закон выделяет три категории такой информации:
· информация, составляющая государственную тайну;
· персональные данные;
· информация, составляющая коммерческую тайну.
Информацией первой категории владеет само государство и, естественно,именно оно выдвигает требования по ее защите и контролирует их выполнение. Соответствующиеположения закреплены в Законе Российской Федерации «О государственной тайне»,принятом в 1993 году. Следует знать, что нарушение этих требований влечет за собойприменение санкций, предусмотренных Уголовным кодексом.
Собственниками второй категории информации являемся мы с Вами,так как эта информация затрагивает нашу с Вами личную жизнь. Однако, понимая степеньзначимости этой информации и ее роль в обеспечении безопасности каждой отдельновзятой личности, государство взяло ее под свой патронаж и рассматривает ее защиту,как одну из своих важных задач.
Информацией третьей категории владеют сами учреждения, и поэтомуони вправе ей распоряжаться, а, следовательно, и выбирать степень ее защиты. Правда,применить какие-либо санкции в случае нарушения конфиденциальности возможно, толькоесли предварительно были выполнены особые формальности, оговоренные Гражданскимкодексом Российской Федерации.
Суть этих формальностей, изложенных в статье 139 Гражданскогокодекса Российской Федерации, заключается в том, что, во-первых, информация должнаиметь действительную или потенциальную коммерческую ценность, во-вторых, учреждениюнеобходимо принять определенные меры по охране конфиденциальности и, в-третьих,все сотрудники, знакомые с этими сведениями, должны быть официально предупрежденыоб их конфиденциальности. При отнесении информации к категории «коммерческаятайна» следует руководствоваться положениями Гражданского кодекса РоссийскойФедерации (статья 139), Федерального Закона «Об информации, информатизациии защите информации» (часть 3, статья 10) и Постановления Правительства РоссийскойФедерации от 5 декабря 1991 года за номером 35 «О перечне сведений, которыене могут составлять коммерческую тайну».
Сведения, относимые к категории «коммерческая тайна»,можно разделить на две группы:
· Научно-техническая и технологическая информация, связанная непосредственнос деятельностью учреждения, то есть конструкторская и технологическая документация,сведения об используемых материалах, описание методов и способов производства разрабатываемыхизделий, специфический или уникальный программный продукт, перспективные планы развитияили модернизации производства;
· Деловая информация о деятельности учреждения, то есть финансовая документация,перспективные планы развития, аналитические материалы об исследованиях конкурентови эффективности работы на рынке товаров и услуг и т.п.
Чтобы отнесение к категории коммерческой тайны приобрело законнуюсилу, оно должно быть оформлено в виде специального перечня, утвержденного руководителемучреждения. Только в этом случае можно говорить о придании конфиденциальной информацииопределенных вещных прав.
Более подробно все эти вопросы освещены в законопроекте«О коммерческой тайне», который уже более двух лет рассматривается Правительствоми Федеральным собранием.
Нельзя не сказать и о том, что Гражданским кодексом РоссийскойФедерации информация наделена правами товара. Она может представлять определеннуюценность (даже не относясь к вышеперечисленным категориям), обмениваться, продаваться,дариться и т.п., поэтому, оценивая информацию с точки зрения важности ее защиты,следует учитывать и этот аспект.2. Описание каналов утечки информации
Под каналами утечки информации понимаются методы и способы получениязакрытой информации.
Каналы утечки информации подразделяются на следующие категории:
· Технические;
· Материально-вещественные;
· Легальные;
· Агентурные.
Рассмотрим каждый из каналов утечки информации более подробно.
Технические каналы утечки информации
Под техническим каналом утечки информации понимают способ полученияинформации с помощью технических средств.
Технические каналы утечки информации по физическим принципамможно классифицировать на следующие группы:
· Акустические
1. Воздушные;
2. Вибрационные;
3. Электроакустические;
4. Оптико-электронные;
5. Параметрические;
· визуально-оптические;
· электромагнитные;
· компьютерные.
Акустические
В зависимости от среды распространения акустических колебаний,способов их перехвата и физической природы возникновения информационных сигналов,технические каналы утечки акустической информации можно разделить на воздушные,вибрационные, электроакустические, оптико-электронные и параметрические.
Воздушные
В воздушных технических каналах утечки информации средой распространенияакустических сигналов является воздух и для их перехвата используются миниатюрныевысокочувствительные и направленные микрофоны, которые соединяются с диктофонамиили специальными микропередатчиками. Подобные автономные устройства, объединяющиемикрофоны и передатчики, обычно называют акустическими закладками. Перехваченнаяэтими устройствами акустическая информация может передаваться по радиоканалу, посети переменного тока, соединительным линиям, посторонним проводникам, трубам ит.п.
Методы съема информации:
· Установка радио-закладок в стенах и мебели;
· Съем информации по системе вентиляции;
· Съем информации с использованием диктофонов;
· Съем информации направленным микрофоном.
Способы съема информации:
· Подслушивание;
· Диктофон;
· Микрофон;
· Направленный микрофон.
Методы и средства защиты информации:
· Шумовые генераторы;
· Поиск закладок;
· Ограничение доступа.
Вибрационные
В вибрационных каналах (структурных каналах) утечки информациисредой распространения акустических сигналов является конструкция зданий (стены,потолки, полы), трубы водо — и теплоснабжения, канализации и другие твердые тела.
Методы съема информации:
· За счет структурного звука в стенах и перекрытиях;
· Утечка по сети отопления, газо — и водоснабжения.
Способы съема информации:
· Вибродатчики.
Методы и средства защиты информации:
· Защитные фильтры.
Электроакустические
Электроакустические каналы утечки информации обычно образуютсяза счет преобразования акустических сигналов в электрические по двум основным направлениям:путем «высокочастотного навязывания» и путем перехвата через вспомогательныетехнические средства и системы.
Технический канал утечки информации путем «высокочастотногонавязывания» образуется при несанкционированном контактном введении токов высокойчастоты от ВЧ-генератора в линии, имеющие функциональные связи с элементами вспомогательныхтехнических средств и систем, на которых происходит модуляция ВЧ-сигнала. Наиболеечасто подобный канал утечки информации используют для перехвата разговоров, ведущихсяв помещении, через телефонный аппарат, имеющий выход за пределы контролируемой зоны.С другой стороны, вспомогательные технические средства и системы могут сами содержатьэлектроакустические преобразователи. К таким вспомогательным техническим средствами системам относятся некоторые датчики пожарной сигнализации, громкоговорители ретрансляционнойсети и т.д. Используемый в них эффект обычно называют «микрофонным эффектом».
Методы съема информации:
· Съем информации за счет наводок и «навязывания»;
· Съем информации за счет использования «телефонного уха»;
· Утечка по охранно-пожарной сигнализации.
Способы съема информации:
· Подключение к вспомогательным техническим средствам и системам (телефон,датчики пожарной сигнализации, громкоговорители ретрансляционной сети).
Методы и средства защиты информации:
· Использование специальных устройств;
· Отключение телефонных аппаратов от линии при ведении в помещении конфиденциальныхразговоров;
· установка в телефонной линии специального устройства защиты, автоматически(без участия оператора) отключающего телефонный аппарат от линии при положеннойтелефонной трубке;
· Использование метода «выжигания» закладных устройств илиих блоков питания путем подачи в линию высоковольтных импульсов.
Оптико-электронные
При облучении лазерным лучом вибрирующих в акустическом полетонких отражающих поверхностей, таких как стекла окон, зеркал, картин и т.п., создаетсяоптико-электронный (лазерный) канал утечки акустической информации. Отраженное лазерноеизлучение модулируется по амплитуде и фазе и принимается приемником оптическогоизлучения, при демодуляции которого выделяется речевая информация. Для перехватаречевой информации по данному каналу используются локационные системы, работающие,как правило, в ближнем инфракрасном диапазоне и известные как «лазерные микрофоны».Дальность перехвата составляет несколько сотен метров.
Методы съема информации:
· Лазерный съем акустической информации с окон.
Способы съема информации:
· С помощью «лазерных микрофонов».
Методы и средства защиты информации:
· Звукоизоляция окон;
· Установка на стекла окон «виброгенераторов».
Параметрические
Параметрический канал утечки акустической информации образуетсяв результате воздействия акустического поля на элементы высокочастотных генераторови изменения взаимного расположения элементов схем, проводов, дросселей и т.п., чтоприводит к изменениям параметров сигнала, например, модуляции его информационнымсигналом. Промодулированные высокочастотные колебания излучаются в окружающее пространствои могут быть перехвачены и детектированы соответствующими средствами. Параметрическийканал утечки акустической информации может быть создан и путем высокочастотногооблучения помещения, где установлены полуактивные закладные устройства, имеющиеэлементы, параметры которых (добротность, частота и т.п.) изменяются по закону измененияакустического (речевого) сигнала.
Методы съема информации:
· Высокочастотный канал утечки в бытовой технике.
Способы съема информации:
· С помощью спец. оборудования.
Методы и средства защиты информации:
· Шумовые генераторы;
· Не устанавливать элементы высокочастотных генераторов (например: телевизор);
· Поиск закладок.
Визуально-оптические
Каналы утечки графической информации, реализуются техническимисредствами. И предоставляют информацию в виде изображений объектов или копий документов,получаемых путем наблюдения за объектом, съемки объекта и съемки (копирования) документов.В зависимости от условий наблюдения обычно используются соответствующие техническиесредства, в том числе: оптика (бинокли, подзорные трубы, телескопы, монокуляры),телекамеры, приборы ночного видения, тепловизоры и т.п. Для документирования результатовнаблюдения проводится съемка объектов, для чего используются фотографические и телевизионныесредства, соответствующие условиям съемки. Для снятия копий документов используютсяэлектронные и специальные (закамуфлированные) фотоаппараты. Для дистанционного съемавидовой информации используют видеозакладки, либо осуществляют видеосъемку из зданийрасположенных по близости.
Методы съема информации:
· Наблюдение, фотографирование, видеосъемка объекта.
Способы съема информации:
· Съем информации с использованием видео-закладок;
· Использование закамуфлированной техники (фотоаппарата, видеокамеры);
· Наблюдение за объектом вне его зоны (из соседних зданий).
Методы и средства защиты информации:
· Поиск закладок;
· Экранировка помещения;
· Использование жалюзи или штор.
Электромагнитные
Для электромагнитных каналов утечки характерными являются побочныеизлучения:
Электромагнитные излучения элементов технические средства обработкиинформации.
Носителем информации является электрический ток, сила которого,напряжение, частота или фаза изменяются по закону информационного сигнала.
Электромагнитные излучения на частотах работы высокочастотныхгенераторов технические средства обработки информации и вспомогательные техническиесредства и системы.
В результате воздействия информационного сигнала на элементахгенераторов наводятся электрические сигналы, которые могут вызвать непреднамереннуюмодуляцию собственных высокочастотных колебаний генераторов и излучение в окружающеепространство.
Электромагнитные излучения на частотах самовозбуждения усилителейнизкой частоты технических средств передачи информации.
Самовозбуждение возможно за счет случайных преобразований отрицательныхобратных связей в паразитные положительные, что приводит к переводу усилителя изрежима усиления в режим автогенерации сигналов, причем сигнал на частотах самовозбуждения,как правило, оказывается промодулированным информационным сигналом.
Возможными причинами возникновения электрических каналов утечкимогут быть:
Наводки электромагнитных излучений технические средства обработкиинформации.
Возникают при излучении элементами технические средства обработкиинформации информационных сигналов, а также при наличии гальванической связи соединительныхлиний технические средства обработки информации и посторонних проводников или линийвспомогательные технические средства и системы.
Просачивание информационных сигналов в цепи электропитания.
Возможно при наличии магнитной связи между выходным трансформаторомусилителя и трансформатором электропитания, а также за счет неравномерной нагрузкина выпрямитель, что приводит к изменению потребляемого тока по закону измененияинформационного сигнала.
Просачивание информационных сигналов в цепи заземления.
Образуется за счет гальванической связи с землей различных проводников,выходящих за пределы контролируемой зоны, в том числе нулевого провода сети электропитания.
Методы съема информации:
· Утечка за счет побочного излучения терминала;
· Съем информации с дисплея;
· Утечка по цепям заземления;
· Утечка по трансляционной цепи и громко говорящей связи;
· Утечка по охранно-пожарной сигнализации;
· Утечка по сети электропитания.
Способы съема информации:
· электромагнитный датчик;
Методы и средства защиты информации:
· Экранирование.
Компьютерные
Этот уникальный электронноймеханизм для хранения и обработки информации имеется в каждой деловой организации.Более того, они зачастую связаны с внешним миром с помощью модемов и телефонныхлиний, выделенных сетей. Связь компьютера с внешним миром является каналом обмена,отправки и получения информации, благодаря которому организация может более оперативноработать, но данная связь также является каналом заполучения информации, которойобладает организация.
Методы съема информации:
· Программно-аппаратные закладки;
· Компьютерные вирусы, логические бомбы, троянские кони и т.п.;
· Подключение к удаленному компьютеру.
Методы и средства защиты информации:
· Использование сертифицированного ПО;
· Установка FireWall’ов;
· Использование антивирусов.
Материально-вещественные каналы утечки информации
К материально-вещественному каналу утечки информации относится
относится снятие информации непосредственно с носителя информации.
Методы съема информации:
· несанкционированное размножение, копирования или хищения носителейинформации;
· Визуальный съем информации с дисплея или документов;
· Использование производственных и технологических отходов.
Способы съема информации:
· Наблюдение;
· Обработка мусора;
· Копирование документов;
· Хищение носителей информации.
Методы и средства защиты информации:
· Ограничение доступа;
· Использование «уничтожителей документов»;
· Физическая защита.
Легальные
Под легальными каналами утечки информации понимается переработкаоткрытой информации для выявления из нее закрытых сведений.
Методы съема информации:
· Литература;
· Периодические издание;
· Выведывание под благовидным предлогом информации у лиц, располагающихинтересующей информацией;
· СМИ;
· Интернет.
Методы и средства защиты информации:
· Работа с персоналом;
· Постановления о неразглашении конфиденциальной информации;
· Фильтрация данных предоставляемых для опубликования.
Агентурные
Агентурные каналы утечки информации это использование противникомтайных агентов для получения закрытой информации.
В данном канале утечки информациииспользуются следующие методы:
· Внедрение своих агентов в организацию;
· Проведение беседы (анкетирования)с агентами находящимися (работающими) в организации;
· Вербовка агентов уже находящихся(работающих) в организации.
К вербовке агента необходимоподходить с психологической точки зрения. Необходимо понять характер агента, выявитьего слабости и мотивы из-за которых он может выдать необходимую информацию. И вконечном счете с играть на его мотивах.
Личные мотивы выдачи информации
Так как всякий индивид вдемонстрируемом поведении направляется определенными побуждениями, понимание таковыхдает возможность подобрать к нему ключи и в итоге получить необходимые данные.
О мотивах некоего человекаузнают путем его изучения, причем следует учитывать и степень выраженности (оченьсильно, довольно сильно, слабо) этих побуждений.
Характерные мотивы выдачииндивидом информации и возможные пути их утилизации таковы:
1. Алчность. (Обещание илиже предоставление денег и иных материальных ценностей);
2. Страх за себя. (Шантажирование,а порою и угроза либо факт грубого физического или утонченного психологическоговоздействия);
3. Страх за своих близких.(Явная угроза либо факт разнотипного насилия — в духе похищения, избиения, изнасилования,кастрации, «сажания на иглу», полного физического устранения);
4. Фактор боли. (Качественнаяпытка или угроза интенсивного болевого воздействия);
5. Сексуальная эмоциональность.(Ловкое подсовывание полового партнера и различной порнографии с перспективой«расслабления», шантажа или обмена);
6. Безразличие. (Четкая реализациядепрессии, возникающей в результате инспирированных или спонтанных жизненных обстоятельств,а иной раз и в результате психофизической обработки объекта);
7. Внутренний авантюризм.(Предоставление шансов индивиду для ведения им своей игры);
8. Счеты с «системой»или организацией. (Умное использование идеологических разногласий и существующейнеудовлетворенности объекта своим нынешним положением либо завтрашней перспективой);
9. Счеты с конкретными лицами.(Разжигание таких негативных чувств как месть, зависть и неприязнь с непреодолимымжеланием нанести «врагу» определенный ущерб);
10. Национализм. (Игра наглубинном ощущении некоей национальной общности, ненависти, гордости, исключительности);
11. Религиозные чувства.(Пробуждение неприязни к «иноверцам» или же привязывание определеннойситуации к избранным доктринам исповедуемой религии);
12. Гражданский долг. (Играна законопослушности);
13. Общечеловеческая мораль.(Игра на порядочности);
14. Подсознательная потребностьв самоуважении. (Спекуляция на идеальных представлениях человека о самом себе);
15. Корпоративная (клановая)солидарность. (Игра на конкретной элитарности);
16. Явная симпатия к получателюили его делу. («Резонирующая подстройка к объекту»);
17. Тщеславие. (Провоцированиежелания объекта произвести определенное впечатление, показать свою значимость иосведомленность);
18. Легкомыслие. (Приведениечеловека в беззаботнейшее состояние неосмотрительности и болтливости. К этому жеможно отнести задействование «хронотопа» — явно повышенной доверчивостичеловека в некое время и в определенном месте («случайный попутчик»);
19. Угодливость. (Четкаяреализация подсознательной (волевой) и осознанной (деловой и физической) зависимостиобъекта от получателя);
20. «Помешательство»на чем-либо. (Близкая возможность для коллекционера приобрести (или потерять) страстножелаемую вещь; игра на фобиях);
21. Нескрываемый расчет получитьопределенную информацию взамен. (Техники «баш на баш» или «вождениеза нос»);
22. Страстное стремлениеубедить в чем-либо, изменить отношение к чему-либо (или кому-либо), побудить к определеннымдействиям. (Методы «заглатывание наживки» и «обратной вербовки»).
Методы и средства защиты информации:
· Работа с персоналом.3. Краткая характеристика предприятия ОАО «Челябгипромез»
Организационно-правовая форма деятельности и количествособственников.
Открытое Акционерное Общество«Челябгипромез».
Основные подразделения института:
Главные инженеры проектов.
Бюро авторского надзора.
Творческая архитектурная мастерская.
Технический отдел.
Металлургический отдел.
Прокатный отдел.
Механико-технологический отдел.
Теплосиловой отдел.
Отдел газовый и защиты атмосферы.
Сантехнический отдел.
Отдел водного хозяйства.
Электротехнические отделы.
Отдел пожарной автоматики и связи.
Строительный отдел.
Отдел машиностроения.
Отдел генсмет и проектов организации строительства.
Бюро нормо-контроля и экспертизы.
Отдел изысканий.
Отдел выпуска проектов.
Отдел комплектации оборудования.
Отдел генпланов и транспорта.
Отдел САПР.
Бюро экономического анализа.
Адрес
Адрес юридический: 454090, РФ, г.Челябинск, пр. Ленина, 35
Адрес физический: 454090, РФ, г.Челябинск, пр. Ленина, 35
Адрес почтовый: 454090, РФ, г. Челябинск,пр. Ленина, 35
Количество работающих, кадровый и национальный состав.
920 чел. (92 г.);
800 чел. (94 г.);
490 чел. (96 г.).
Национальный состав разнообразен, но большинство рабочих русских.
Характер продукции и услуг.
079900M: комплексное проектированиеобъектов черной металлургии и объектов других отраслей, гражданского строительстваи объектов соцкультбыта (07.98)
030900M, 102500M: проведение инженерно-изыскательскихработ в строительстве (07.98)
030900M, 102500M: разработка проектно-сметнойдокументации промышленного и гражданского строительства, объектов соцкультбыта(07.98)
065200M, 102500M: разработка мероприятийпо охране окружающей среды и территорий промышленной и социально-культурной сфер(07.98)
030900M: разработка технической документациипо использованию вторичных минеральных и энергетических ресурсов (07.98)
030900M, 102500M: разработка документациии проведение комплектации оборудованием и материалами строящихся и реконструируемыхобъектов (07.98)
102500M: научно-техническая продукцияи методические пособия для строительства (07.98)
102500M: ведение авторского надзорав строительстве (07.98)
102500M: обследование существующихобъектов и сооружений и разработка рекомендаций (07.98)
011800M: внешнеэкономическая деятельность(07.98)
040200M: предпринимательская и посредническаядеятельность (07.98)
Наличие внешнеторговых связей.
ОАО «ЧЕЛЯБГИПРОМЕЗ» разрабатываетнекоторые проекты совместно с европейскими компаниями, которые работают на Российскомрынке. Внешнеторговые связи отсутствуют.
Наличие на предприятии сведений, составляющих государственнуютайну.
На предприятии “ЧЕЛЯБГИПРОМЕЗ” не содержатся сведения составляющихгосударственную тайну.
Оснащенность управления и производства средствами СВТ,наличие специализированных подразделений, наличие локальной сети и её соединениес внешним миром.
В институте “ЧЕЛЯБГИПРОМЕЗ” проведена локально-вычислительнаясеть. ЛВС связана с внешним миром через глобальную сеть Internet.В институте стоит сервер, который выполняет также роль файл сервера. К нему подключенався компьютерная сеть, и выход в Интернет осуществляется через данный сервер.
Наличие самостоятельной АТС и корпоративных пользователейуслугами мобильной связи.
В институте имеется собственная мини-АТС (внутренние телефоныимеют 3-х значный номер).
Характеристика строений
административное здание повышенной этажности (пр. Ленина, 35)с общей рабочей площадью 13320 м2 (07.98). В связи с тем, что административное здание- повышенной этажности, верхние этажи данного строения могут представлять интересдля спецслужб.
отдельно стоящий двухэтажный блок с размерами в плане 30 х 18 м, на первом этаже располагается автогараж на 4 бокса, на втором спортзал (05.97)
У «Челябгипромеза», также имеется база отдыха с участком 2,8 га (05.97)
Способ охраны, оснащенность охранных подразделений и оборудованиеинженерно-техническими средствами охраны зданий объекта.
В институте действует контрольно пропускной режим. В здание институтаимеется три входа: Главный вход, через здание магазина «Эльдорадо», черезавтомобильную стоянку.
У главного входа находится два охранника, у входа через зданиемагазина «Эльдорадо», у въезда на стоянку и у входа в здание со стоянкинаходится по одному охраннику.
В рабочее время по зданию ходит один патрулирующий охранник.
В здании также ведется видеонаблюдение.
Охранники не вооружены, не имеют раций.
Наличие у охранников лицензии необязательно.
Каналы утечки информации на ОАО «Челябгипромез»
Утечка информации по материально-вещественному каналу«перекрыта», так как на предприятии действует контрольно пропускной режим,а следовательно в здании предприятия отсутствуют посторонние лица.
Рассмотрим технические каналы утечки информации.
Акустический канал утечки информации:
Воздушные
· Установка радио-закладок в стенах и мебели;
· Съем информации с использованием диктофонов;
· Съем информации направленным микрофоном.
Отметим, что съем информации с помощью направленного микрофонавозможна только с нижних этажей здания. Так как здание предприятия повышенной этажности,а близ лежащие здания с которых возможно производить съем информации данным методомгораздо ниже чем здание предприятия.
Вибрационные
· За счет структурного звука в стенах и перекрытиях;
· Утечка по сети отопления, газо- и водоснабжения.
Для реализации данного метода необходимо проникновение в зданиеи установка специального оборудование. В связи с контрольно-пропускным режимом ивидеонаблюдением действующим на предприятии данная группа акустического канала утечкиинформации затруднительна.
Электроакустические
· Съем информации за счет наводок и «навязывания»;
· Съем информации за счет использования «телефонного уха»;
· Утечка по охранно-пожарной сигнализации.
Для реализации данных методов также необходимо проникновениев здание и установка спец. Оборудования. Что предотвращено контрольно-пропускнымрежимом и видеонаблюдением установленных на предприятии.
Оптико-электронные
· Лазерный съем акустической информации с окон.
Как и в случае с воздушным каналом утечки информации съем информацииданным методом возможен только с нижних этажей здания предприятия. Так как зданиепредприятия повышенной этажности, а близ лежащие здания с которых возможно производитьсъем информации данным методом гораздо ниже, чем здание предприятия.
По мимо акустического канала утечки информации в техническихканалах также существуют и другие каналы:
Визуально-оптические
· Наблюдение, фотографирование, видеосъемка объекта.
Для съема информации через визуально-оптический канал утечки,необходимо либо проникнуть в здание предприятия, либо осуществлять видео/фото съемкус близ лежащих домов. Проникновение в здание посторонних лиц пресекается физическойзащитой (охрана, КПП, видеонаблюдение). А съем информации по визуально-оптическомуканалу утечки возможен только с нижних этажей здания предприятия. Так как зданиепредприятия повышенной этажности, а близ лежащие здания с которых возможно производитьсъем информации данным методом гораздо ниже, чем здание предприятия.
Компьютерные
· Программно-аппаратные закладки;
· Компьютерные вирусы, логические бомбы, троянские кони и т.п.;
· Подключение к удаленному компьютеру.
Возможна утечка информации через данный канал. Так как компьютерыпредприятия имеют связь с внешним миром через сервер установленный на предприятии.Следовательно, возможно «проникновение» в компьютерную сеть с удаленногокомпьютера. Хотя и используется специальное программное и аппаратное обеспечение(антивирусы, firewall’ы), вероятность проникновения в компьютернуюсеть все же остается, так как все время совершенствуются и находятся новые путиобхода защитного программного и аппаратного обеспечения.
Агентурные
· Вербовка агентов;
· Внедрение агентов.
Полностью защититься от этого канала утечки информации невозможно(если конечно не уволить всех рабочих). Учитывая, что на «Челябгипромезе»работает около 490 человек различной национальной принадлежности, контролироватьданный канал утечки информации особенно сложно. Для уменьшения вероятности утечкиинформации через данный канал, необходимо разграничить доступ персонала к закрытойинформации.
Легальные
· Литература;
· Периодические издание;
· Выведывание под благовидным предлогом информации у лиц, располагающихинтересующей информацией;
· СМИ;
· Интернет.
Для предотвращения утечки информации через данный канал, необходимафильтрация данных предоставляемых для опубликования. Также необходимо разграничениедоступа к защищаемой информации, например установление контрольно-пропускного режима.На рассматриваемом предприятие «Челябгипромез» реализован контрольно-пропускнойрежим, а также ведется видеонаблюдение, что предотвращает несанкционированное проникновениев архив предприятия.
Заключение
Рассмотрев каналы утечки информации на предприятии ОАО«Челябгипромеза», можно сделать вывод, что предпринятые руководством мерыпо обеспечению информационной безопасности, в действительности способны противостоятьлишь недостаточно опытным в данной среде лицам, покушающимся на закрытую информацию.Это связано с тем, что установка видеонаблюдения и контрольно-пропускного режиманедостаточно для реализации хорошей информационной безопасности. Многие каналы утечкиинформации блокируются благодаря высокой конструкции здания. Хорошо «закрыт»компьютерный канал утечки информации, благодаря использованию специального программногои аппаратного обеспечения. Но существуют и другие каналы утечки информации, которыене защищены должным образом. При организации информационной безопасности необходимоучитывать, чтоЗащита информации — это комплекс мероприятий, направленныхна обеспечение информационной безопасности. Рассматривая «Челябгипромез»можно сказать, что при обеспечении на этом предприятии информационной безопасностине было учтено, что защита информации это комплексная процедура, и имеет смысл толькопри всесторонней защите.
Список использованной литературы
1. В.И. Ярочкин «Безопасность информационных систем» М.: Ось-89, 1996
2. Роман Ронин «СВОЯ РАЗВЕДКА Практическоепособие» Минск: Харвест, 1997
3. Шиверский А.А. Защита информации: проблемы теории и практики. Юрист, 1996.- 112 с.5 — 7357-0108-8
4. Алексенцев А.И. «Безопасность информационных технологий» // 2000,№3.