Разработка системы требований по обеспечению защищенного удаленного доступа к сети филиала ФГУП "Радиочаcтотный цeнтр южного фeдeрального округа" по Cтавропольcкому краю - Дипломная работа

Контроль за излучениями радиоэлектронных средств и высокочастотных устройств (далее - радиоконтроль) является составной частью государственного управления использованием радиочастотного спектра и международно-правовой защиты присвоения радиочастот или радиочастотных каналов и представляет собой комплекс организационных и технических мероприятий, осуществляемых путем измерений и инструментальных оценок параметров излучений радиоэлектронных средств и высокочастотных устройств [3]. При осуществлении радиоконтроля решаются следующие задачи [4]: оценка параметров излучений радиоэлектронных средств и высокочастотных устройств, установленных решениями о выделении полос радиочастот либо разрешениями на использование радиочастот или радиочастотных каналов и предусмотренных национальными стандартами и техническими регламентами, определяющими обязательные требования к параметрам излучений радиоэлектронных средств и высокочастотных устройств; контроль за излучениями радиоэлектронных средств и высокочастотных устройств в целях обеспечения международно-правовой защиты присвоения (назначения) радиочастот или радиочастотных каналов, в отношении которого осуществляется международно-правовая защита. поиск и определение местоположения радиоэлектронных средств, использующих не по назначению радиочастоты или радиочастотные каналы, в том числе радиочастоты бедствия и радиочастоты (радиочастотные каналы) служб, участвующих в поисково-спасательных операциях; Задачей радиочастотной службы является осуществление организационных и технических мер по обеспечению надлежащего использования радиочастот или радиочастотных каналов, радиоэлектронных средств и высокочастотных устройств гражданского назначения (далее соответственно - радиоэлектронные средства, высокочастотные устройства) на территории Российской Федерации, а также на территории, находящейся под юрисдикцией Российской Федерации.СФЗ строятся на базе широкого применения инженерно-технических решений и программно-аппаратных средств и содержат следующие основные составные части: система контроля и управления доступом персонала, система охранной и тревожной сигнализации, система телевизионного наблюдения, система оперативной связи и оповещения, вспомогательные системы (электропитание, освещение и др.). В нем не приводится список требований по безопасности, но положения стандарта позволяют сформулировать цели безопасности, направленные на обеспечение противостояния угрозам и выполнение политики безопасности, т.e. te цели, которые должны использоваться как основа для оценки свойств безопасности продуктов, систем и информационных технологий. Каналы связи, предназначенные для управления постами должны удовлетворять следующим требованиям [15]: обеспечение установления прямого и непрерывного соединения между центральным постом и периферийными постами, то есть при выходе из строя основного канала связи, должна обеспечиваться бесперебойная работа по управлению станцией радиоконтроля в обход поврежденных каналов; иные, эксплуатационные характеристики, определенные нормативными документами на комплексы радиоконтроля (технические характеристики каналов должны обеспечивать среднюю скорость передачи информации в канале не ниже 19,2 КБИТ/с при коэффициенте надежности канала 0,9; среднее количество разъединений в час, обусловленное ухудшением качества связи не более 3. Считыватели - это устройства, считывающие персональный код доступа c электронного ключа или пропуска и передающие информацию на контроллер, который принимает решение о допуске или отказе в нем.Данный протокол позволяет организовать сеть на основе перспективной технологии многопротокольной коммутации меток, построенной по иерархической двухуровневой архитектуре, включающей опорный слой (ядро) MPLS-коммутации IP-трафика и граничный слой, несущий основную нагрузку по обслуживанию абонентов и составляет основной "интеллект" сети. При организации канала связи, в соответствии c требованиями завода-изготовителя оборудования, не рекомендуется использовать канал для работы c другими системами, т.e. для передачи/приема других сообщений. Стоимость оборудования такой системы контроля управления доступом (СКУД) для одной двери, установленной на необслуживаемом радиоконтрольном посту в филиале по адресу: г. Проанализировав систему контроля доступом, преимущества использования такой системы очевидны: ограничение и контроль доступа посетителей в помещения типа «Посторонним вход запрещен» без ограничения для сотрудников; По интеграции и масштабируемости данная система данная система в стоимостном выражении будет довольно дорогая, но она будет обладать следующими преимуществами: масштабируемость системы - возможность построения систем видеонаблюдения любого масштаба - от одной видеокамеры до нескольких тысяч. Возможность расширения системы и ee наращивания;Разработаны требования по модернизации существующей сети филиала на основе анализа, проведенного в главе 2.

Контроль за излучениями радиоэлектронных средств и высокочастотных устройств является составной частью государственного управления использованием радиочастотного спектра и международно-правовой защиты назначения радиочастот или радиочастотных каналов и представляет собой комплекс организационных и технических мероприятий, осуществляемых путем измерений и инструментальных оценок параметров излучений радиоэлектронных средств и высокочастотных устройств.

2. АНАЛИЗ ПРИНЦИПОВ ПОСТРОЕНИЯ СХЕМЫ ОРГАНИЗАЦИИ ЗАЩИЩЕННОГО УДАЛЕННОГО ДОСТУПА к СЕТИ УПРАВЛЕНИЯ ПОСТАМИ РАДИОКОНТРОЛЯ ФИЛИАЛА РЧЦ ЮФО

2.1 Анализ существующих методов защиты информации в сетях управления удаленным доступом

При создании систем физической защиты (СФЗ) ставится задача защиты жизненно важных зон и систем охраняемого объекта от ошибочных, некомпетентных или преднамеренных действий субъектов, находящихся на его территории, которые по характеру возможного ущерба приближаются к несанкционированным действиям внешних или внутренних нарушителей.

Система физической защиты представляет собой совокупность правовых норм, организационных мер и технических решений, направленных на защиту жизненно-важных интересов и ресурсов охраняемого объекта от угроз, источниками которых являются несанкционированные воздействия физических лиц [10].

СФЗ строятся на базе широкого применения инженерно-технических решений и программно-аппаратных средств и содержат следующие основные составные части: система контроля и управления доступом персонала, система охранной и тревожной сигнализации, система телевизионного наблюдения, система оперативной связи и оповещения, вспомогательные системы (электропитание, освещение и др.).

Для оценки качества системы физической защиты могут быть использованы международные стандарты ISO/IEC 17799 и ISO/IEC 15408. В первом из них предлагается расширенный перечень аспектов информационной безопасности. Он начинается c принципов разработки политики безопасности, включает основы проверки системы на соответствие требованиям информационной безопасности, содержит практические рекомендации.

Стандарт ISO/IEC 15408 определяет критерии безопасности информационных технологий. В нем не приводится список требований по безопасности, но положения стандарта позволяют сформулировать цели безопасности, направленные на обеспечение противостояния угрозам и выполнение политики безопасности, т.e. te цели, которые должны использоваться как основа для оценки свойств безопасности продуктов, систем и информационных технологий. Стандарт описывает инфраструктуру, в которой пользователи системы могут сформулировать требования, а эксперты по безопасности определить, обладает ли продукт заявленными свойствами. Эффективность функционирования СФЗ зависит от множества действующих взаимосвязанных между собой элементов и, как правило, оценивается совокупностью критериев, находящихся в сложных конфликтных взаимоотношениях. Отсутствие на сегодняшний день общего подхода к решению задач данного класса закономерно влечет за собой многообразие различных не взаимосвязанных методов решения данного комплекса проблем [10].

Анализ построения сети управления и передачи информации в филиале ФГУП «Радиочастотный центр Южного федерального округа»

Выход из строя наземных каналов связи - серьезная проблема в организации управления постами радиоконтроля. Сложная территориально-распределенная структура развернутой сети радиоконтроля на территории края, выявила необходимость организации в филиале собственной корпоративной сети, ставку пришлось делать в первую очередь на качество канала связи и надежность этой сети.

Современная система радиомониторинга состоит из ряда фиксированных и подвижных станций контроля - обслуживаемых и необслуживаемых. Эффективность работы всей системы радиомониторинга значительно повышается за счет автоматизации и дистанционного управления станциями контроля, объединенными в единую сеть.

Развернутая система радиомониторинга c использованием стационарных постов должна обеспечить [3]: максимальный охват радиоэлектронных средств (РЭС) гражданского назначения стационарными постами c минимально возможным количеством постов наблюдения;

для обеспечения автоматического определения местоположения источника радиоизлучения (ИРИ) посты наблюдения системы должны иметь единую сеть управления, которая обеспечит согласованную (синхронную) работу комплексов.

Первая задача решается путем развертывания стационарных постов мониторинга в крупных городах и кластерах городов, а также населенных пунктах c высокой плотностью размещения РЭС гражданского назначения.

Вторая, наиболее проблемная задача синхронной работы постов реализуется за счет организации и использования выделенных каналов связи между пунктом управления и вынесенным постом радиомониторинга для дистанционного управления технологическими процессами при проведении контроля. Каналы связи, используемые для управления, могут быть построены на основе кабельных (цифровых и аналоговых), спутниковых, радио или сотовых систем связи. На физическом уровне связь c удаленными стационарными постами может строиться на основе радио-Ethernet или волоконнооптических линий связи [14].

Управление станциями радиомониторинга в реальном масштабе времени дает оператору возможность задействовать удаленную станцию таким же образом, как если бы она была местной. Этот режим работы включает в себя контроль звуковых сигналов и обмен данными для управления оборудованием. Допускается, как правило, чтобы установление связи между станцией и оператором занимало не более нескольких десятков секунд, но после этого оператор должен управлять станцией постоянно и в реальном масштабе времени.

На сегодняшний день на территории Ставропольского края организованы каналы связи между центральным постом управления и тремя необслуживаемыми постами (НРКП) в городе Ставрополе, а также постами в городах Буденновске, Невинномысске и Пятигорске. Структурная схема такой системы управления c организаций каналов связи c использованием ВОЛС представлена на рисунке 1.2.

Элементами распределенной системы радиомониторинга являются [6]: автоматизированное рабочее место (АРМ) c программным обеспечением АРМ-150, для управления НРКП;

АРМ c программным обеспечением Radio Scope 1.561.5, для управления радиоизмерительным комплексом Ирга-2;

программно-аппаратный комплекс НРКП - ТМО-2С8-F и ТМО-2С8-L;

ситуационный центр;

оптоволоконные каналы связи ОАО «Ростелеком».

Программное обеспечение установленное на центральном посту управления АРМ-150 поддерживает произвольное количество удаленных стационарных станций. Все стационарные станции системы АРМ-150 объединяются в единую сеть c протоколом обмена TCP/IP, позволяющим производить дистанционное включение/выключение при управлении стационарными постами мониторинга по линиям связи, осуществлять обработку информации, запоминать результаты и выводить информацию на экран монитора на центральном посту управления.

Рисунок 2.1 - Общая структурная схема распределенной системы

Для дистанционного управления комплексами используется программное обеспечение ФПО-176 на базе операционной системы Windows XP Professional. ФПО-176 позволяет проводить работу по обработке сигналов в составе комплекса для решения задач технического анализа сигналов, анализа структуры сигналов, пеленгования и местоопределения, ведения баз данных.

Каналы связи, предназначенные для управления постами должны удовлетворять следующим требованиям [15]: обеспечение установления прямого и непрерывного соединения между центральным постом и периферийными постами, то есть при выходе из строя основного канала связи, должна обеспечиваться бесперебойная работа по управлению станцией радиоконтроля в обход поврежденных каналов;

должна обеспечиваться достаточная пропускная способность;

должно быть установлено программное обеспечение для защиты получаемой и предаваемой информации;

иные, эксплуатационные характеристики, определенные нормативными документами на комплексы радиоконтроля (технические характеристики каналов должны обеспечивать среднюю скорость передачи информации в канале не ниже 19,2 КБИТ/с при коэффициенте надежности канала 0,9; среднее количество разъединений в час, обусловленное ухудшением качества связи не более 3. При использовании сотовых систем связи допускается работа на скорости 9,6 КБИТ/сек) [13].

Основное требование ко всей системе управления комплексами радиоконтроля - достоверная передача и прием полученных результатов радиоконтроля [4].

2.2.1 Анализ устройств контроля доступа к НРКП

В последние годы одним из наиболее эффективных и цивилизованных подходов к решению задачи комплексной безопасности объектов различных форм собственности является использование систем контроля и управления доступом (СКУД). Правильное использование СКУД позволяет закрыть несанкционированный доступ на территорию, в здание, отдельные этажи и помещения. Следует помнить, что СКУД не устраняет необходимость контроля со стороны человека, но значительно повышает эффективность работы службы безопасности, особенно при наличии многочисленных зон риска. СКУД освобождает охранников от рутинной работы по идентификации , предоставляя им дополнительное время по выполнению основных функций: охране объекта и защите сотрудников и посетителей от преступных посягательств [17].

Системой контроля и управления доступом называется совокупность организационно-методических мероприятий и программно-технических средств, c помощью которых решается задача контроля и управления посещением отдельных зон, а также оперативный контроль перемещения персонала и времени его нахождения на территории объекта [10].

Системы контроля доступа (СКД)- это общая система, которая позволяет решить задачи контроля отдельных территорий или помещений.

Существует множество систем контроля доступа, однако их условно можно разделить на два типа: - контролирующие время нахождения человека на объекте, - работающие просто на запрет/разрешение доступа (также возможно совмещение этих возможностей).

Сотрудникам предприятия (филиала), в котором поставлена система контроля доступа, выдаются специальные электронные носители информации, которые представляют собой брелоки, которые содержат персональные коды доступа. Считыватели устанавливаются при входе в помещение, и распознают код пропуска. Информация c пропуска поступает в систему контроля доступа, которая на основании анализа данных о владельце идентификатора, принимает решение о разрешении или запрете прохода того или иного человека. В случае разрешения допуска, система приводит в действие электронные устройства.

Система контроля и управления доступом позволяет: ограничивать доступ в помещения, зоны, территории;

организовать учет времени доступа на РКП персонала;

контролировать доступ людей в служебные помещения.

Основными устройствами в системе контроля доступа являются: Контроллер - это устройство системы контроля за доступом, управляющее замками, турникетами, автоматическими воротами, шлагбаумами на основании информации, поступающей от считывателей. При разрешении доступа определенного сотрудника в отдельную зону, контроллер приводит в действие исполнительные устройства.

Считыватели - это устройства, считывающие персональный код доступа c электронного ключа или пропуска и передающие информацию на контроллер, который принимает решение о допуске или отказе в нем.

Идентификатор - это электронный ключ, пропуск, в котором содержится информация об индивидуальном коде доступа. В настоящее время наиболее популярны идентификаторы в виде брелоков, бесконтактной карточки proximity, пластиковых карточек c магнитным носителем кода, таблетки типа touchmemory.

Замки - в системах контроля доступа используются электромагнитные и электромеханические. Преимуществом электромеханических замков является возможность использования их как обычных механических замков при отсутствии напряжения в электросети.

Оснащение двери доводчиком обеспечивает выполнение одного из главных требований функционирования систем управления доступом: дверь должна закрываться за каждым человеком. Доводчик обеспечивает плавное закрытие двери и снижает ударные нагрузки на исполнительные механизмы, что значительно повышает долговечность работы системы [17].

2.2.2 Анализ видео и охранно-пожарной сигнализации

Система охранно-пожарной сигнализации представляет собой сложный комплекс технических средств, служащих для своевременного обнаружения возгорания и несанкционированного проникновения в охраняемую зону. Как правило, охранно-пожарная сигнализация интегрируется в комплекс, объединяющий системы безопасности и инженерные системы здания, обеспечивая достоверной адресной информацией системы оповещения, пожаротушения, дымоудаления, контроля доступа [17].

В зависимости от масштаба задач, которые решает охранно-пожарная сигнализация, в ee состав входит оборудование трех основных категорий: оборудование централизованного управления охранно-пожарной сигнализацией;

оборудование сбора и обработки информации c датчиков охранно-пожарной сигнализации;

сенсорные устройства.

Интеграция охранной и пожарной сигнализации в составе единой системы охранно-пожарной сигнализации осуществляется на уровне централизованного мониторинга и управления. При этом системы охранной и пожарной сигнализации администрируют независимые друг от друга посты управления, сохраняющие автономность в составе системы охранно-пожарной сигнализации. На небольших объектах охранно-пожарная сигнализация управляется приемно-контрольными приборами. Приемно-контрольный прибор осуществляет питание охранных и пожарных извещателей по шлейфам охранно-пожарной сигнализации, прием тревожных извещений от извещателей, формирует тревожные сообщения, а также передает их на станцию централизованного наблюдения и формирует сигналы тревоги на срабатывание других систем.

2.2.3 Анализ систем видеонаблюдения

До недавнего времени системы видеонаблюдения ассоциировались именно c процессом наблюдения, то есть эта система представляет собой инструмент для передачи изображения от камеры на мониторы центрального пульта, где сидит оператор и находятся средства документирования. Гораздо важнее отметить тот факт, что по мере развития основное назначение систем видеонаблюдения начинает кардинально меняться: наряду c передачей изображения c камеры на монитор оператора они выполняют все больше дополнительных функций - начиная от автоматической коррекции изображения и заканчивая его аналитической обработкой и даже принятием решения на основе проведенного анализа. Тем самым система видеонаблюдения становится полноценным средством обеспечения безопасности в реальном режиме времени. По мере увеличения числа объектов, за которыми нужно следить, число камер наблюдения увеличивается в геометрической прогрессии, и человек уже просто не в состоянии понять, на какой участок объекта нужно обратить внимание. В итоге система может превратиться в огромный регистратор событий, никоим образом не способствующий реальному обеспечению безопасности, не говоря уже о стоимости установки и содержания такой системы.

2.2.4 Анализ системы электропитания

Работа современной техники зависит от качества электрической энергии. Провал, скачки и пропадание напряжения сети могут привести к потере данных, разрыву сеанса связи, повреждению файлов, выходу техники из строя, нарушению технологического процесса и т.д.

Естественно, что в случае подобного сбоя предприятие несет определенные убытки. Они могут быть разными по величине и включать в себя как прямые затраты на восстановление информации и техники, так и ущерб от простоя или снижения эффективности рабочего процесса, упущенную выгоду, стоимость имиджа компании. В некоторых случаях потери предприятия могут в несколько десятков раз превышать стоимость системы гарантированного бесперебойного электроснабжения. Кроме того, есть еще и ситуации, когда просто недопустимо внезапное отключение оборудования. Это больницы, аэропорты, расчетные центры банков, вычислительные центры и т.д.

Поэтому защита сети электропитания - это одно из важнейших решений в инженерной инфраструктуре любого современного предприятия.

Конечно, каждое предприятие уникально, и в каждом конкретном случае требуется индивидуальный подход в выборе метода и подборе оборудования защиты. Но все-таки существует ряд схожих моментов.

Основными средствами защиты сети электропитания являются источники бесперебойного питания и дизель-генераторные установки.

Источник бесперебойного питания (ИБП) - автоматическое устройство, которое позволяет подключенному к нему оборудованию в случае сбоя в сети электропитания некоторое время работать от аккумуляторов.

ИБП применяется для решения следующих задач: 1. Защита оборудования от пропадания напряжения.

При пропадании питающего напряжения ИБП автоматически переключает нагрузку на питание от аккумуляторов. При появлении напряжения, оборудование переключается обратно на питание от сети.

2. Защита оборудования от некачественной электрической энергии. ИБП защищают подключенную нагрузку от провалов и скачков напряжения. Некоторые из них способны защитить оборудование от колебаний частоты.

3. Преобразование напряжения. Специализированные ИБП выполняют функцию преобразования номинального значения питающего напряжения (380 В, 220 В, 110 В, 24 В и т. д.), а также его типа (переменное в постоянное и наоборот). Чаще всего эта функция востребована в системах безопасности и различных системах автоматики.

Существует три основных схемы построения источников бесперебойного питания (Таблицы 2.1-2.3).

Таблица 2.1 - Схема построяния Резервного ИБП

Принцип работы Особенности Назначение

Резервный ИБП

Нагрузка питается напряжением сети при его наличии. При пропадании напряжения происходит быстрое переключение на резервную схему питания (аккумуляторная батарея и инвертор) Самая низкая стоимость Нет стабилизации напряжения Прямоугольная форма выходного напряжения Время переключения ~4 мс Персональные компьютеры

Таблица 2.2 - Схема построения Интерактивного ИБП

Интерактивный ИБП

Принцип работы идентичен резервным ИБП, за исключением того, что интерактивные ИБП обеспечивают стабилизацию и фильтрацию сетевого напряжения Невысокая стоимость Низкая стабилизация и фильтрация напряжения Прямоугольная форма выходного напряжения Время переключения ~4 мс Важные рабочие станции, серверы, маршрутизаторы, коммутаторы

Таблица 2.3 - Схема построения Онлайн ИБП

Онлайн ИБП

Данная категория ИБП осуществляет двойное преобразование напряжения: входное переменное напряжение трансформируется в постоянное при помощи выпрямителя, а затем обратно в переменное при помощи инвертора. Постоянное напряжение на выходе выпрямителя также используется для заряда батарей Самая высокая стоимость Максимальная фильтрация напряжения от помех Синусоидальная форма выходного напряжения Мгновенное переключение Особо критичное к качеству напряжения оборудование

ИБП целесообразно применять на предприятии, где есть оборудование, критичное к некачественной электроэнергии и кратковременному пропаданию напряжения. В этот список попадают рабочие станции, серверы, оборудование локальной вычислительной сети (маршрутизаторы, коммутаторы и т.д.), системы безопасности, системы автоматики, технологическое, а также любое дорогостоящее оборудование.

Время автономной работы оборудования от ИБП сильно зависит от емкости батарей и мощности нагрузки. Оно может варьироваться от нескольких минут до нескольких часов. При этом решения, рассчитанные на большую мощность и длительное время работы, получаются дорогостоящими.

ИБП не только защищают от всех видов перебоев в подаче энергии. Они также способны фильтровать разнообразные помехи и скачки в электросети, обеспечивая таким образом ровную, бесперебойную подачу энергии для чувствительного оборудования.

Нарушения подачи электроэнергии - например, полное отключение ("затемнение"), падение напряжения ("частичное затемнение"), электрический "шум" (пики, броски напряжения) - могут повлиять на работу электронных устройств. Поэтому важно, чтобы подача электричества была стабильной и ровной. Электрический шум обычно (кроме исключительно тяжелых случаев) проходит незамеченным, но он опасен для рабочего состояния электронного оборудования и ведет к сокращению срока эксплуатации электронных компонентов.

2.3 Сущность и состав элементов политики информационной безопасности филиала

Политика информационной безопасности, является объектом стандартизации. Целью разработки политики филиала в области информационной безопасности является определение правильного (c точки зрения филиала) способа использования информационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности.

C практической точки зрения политику информационной безопасности можно разделить на три уровня (рисунок 2.2). К верхнему уровню относятся решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя: - формирование или пересмотр комплексной программы обеспечения информационной безопасности, назначение ответственных за реализацию этой программы;

- формулировку целей в области информационной безопасности и определение общих направлений их достижения;

- обеспечение технической базы для соблюдения соответствующих законов и правил;

- формулировку управленческих решений по тем вопросам реализации программной безопасности, которые должны рассматриваться на уровне организации в целом.

Рисунок 2.2 - Трехуровневая политика информационной безопасности

На политику верхнего уровня влияют цели организации в области информационной безопасности: они формулируются, как правило, в терминах целостности, доступности и конфиденциальности. На верхний уровень выносится управление ресурсами защиты и координация их использования, выделение специального персонала для защиты особо важных систем, поддержание контактов c другими организациями, обеспечивающими или контролирующими режим безопасности.

Сфера политики верхнего уровня должна быть четко очерчена. Выработка программы информационной безопасности верхнего уровня и ee осуществление - это задача определенных должностных лиц, за выполнение которой они должны регулярно отчитываться. ПИБ верхнего уровня, должна вписываться в существующие законы государства, а чтобы быть уверенными в том, что ей точно и аккуратно следует персонал предприятия, необходимо разработать систему соответствующих поощрений и наказаний. На верхний уровень выносится минимум вопросов.

К среднему уровню относятся отдельные аспекты информационной безопасности, важные для различных систем, эксплуатируемых предприятием. Например, доступ в Интернет, использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т. д.

Политика среднего уровня по каждому подобному аспекту предполагает выработку соответствующею документированного управленческого решения, в котором обычно имеются следующие пункты: - описание аспекта;

- указание на область применения (распространения той или иной политики ИБ). Другими словами должно быть сертифицировано, где, когда, как, по отношению к кому и чему применяется данная политика безопасности;

- четкое расписание соответствующих ролей и обязанностей. В документ политики ИБ необходимо включить информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь, - механизм обеспечения выполнения сотрудниками правил работы c конфиденциальной информацией. Политика должна содержать общее описание запрещенных действий и наказания за них;

- указания на необходимые «точки контакта». Должно быть точно известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией.

Политика безопасности нижнего уровня относится к конкретным сервисам. Она включает в себя всего два аспекта - цели и правила их достижения, поэтому ee порой трудно отделить от вопросов реализации (оказания услуг по информационному обеспечению). В отличие от двух верхних уровней, рассматриваемая политика нередко бывает гораздо более детальной. Есть много вопросов, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти вопросы настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне. Например, политика ИБ нижнего уровня должна отвечать на следующие вопросы: кто имеет право доступа к объектам, поддерживаемым сервисом, при каких условиях можно читать и модифицировать данные, как организован удаленный доступ к сервису.

После разработки и утверждения политики информационной безопасности филиала разрабатываются документы, обеспечивающие реализацию положений ПИБ на практике. Эти документы в совокупности составляют план защиты информации.

2.4 Анализ инженерно-технических методов защиты информации

Инженерно-технический метод защиты информации разделяется на три вида: - аппаратно-технический метод защиты информации обеспечивает сохранность и целостность информационных данных благодаря действию аппаратных процессов специальных технических устройств, которые помогают находить и блокировать возможные места утечки информации. К таким средствам относят специальные радиосканеры, детекторы, передатчики, сетевые фильтры, генераторы помех, системы видеонаблюдения и другие приборы;

- программный метод защиты информации в качестве средств защиты использует специальные компьютерные программы, назначение которых варьируется от цифрового кодирования данных, логического контроля направлений информационных потоков, управления системой защиты до простой идентификации личности пользователя, проверки паролей;

- механический (физический) метод защиты информации пока является самым распространенным вариантом обеспечения информационной безопасности. Двери на замках, заборы и стены это то, что давным-давно использует для охраны своей собственности человеческая цивилизация. К данному методу также относится механическая защита путей передачи информации (например, укладка кабеля в специальные короба).

Рисунок 2.3 - инженерно-технические средства защиты информации в филиале РЧЦ ЮФО

Инженерно-техническая защита информации на объекте достигается выполнением комплекса организационно-технических и технических мероприятий c применением (при необходимости) средств защиты информации от утечки информации или несанкционированного воздействия на нее по техническим каналам, за счет несанкционированного доступа и неконтролируемого распространения информации, по предупреждению преднамеренных программно-технических воздействий c целью нарушения целостности (модификации, уничтожения) информации в процессе ee обработки, передачи и хранения, нарушения ee доступности и работоспособности технических средств и носителей информации и т.п.

Организационно-технические мероприятия основаны на введении ограничений на условия функционирования объекта защиты и являются первым этапом работ по защите информации. Эти мероприятия нацелены на оперативное решение вопросов защиты наиболее простыми средствами и организационными мерами ограничительного характера, регламентирующими порядок пользования техническими средствами. Они, как правило, проводятся силами и средствами служб безопасности самих предприятий и организаций.

Инженерно-технические меры защиты информации предполагают: - Ограничение доступа внутрь корпуса ПЭВМ установленных на постах радиоконтроля путем установления механических запорных устройств.

- Уничтожение всей информации на винчестере ПЭВМ при ee отправке в ремонт c использованием средств низкоуровневого форматирования.

- Организацию питания ПЭВМ от отдельного источника питания или от общей (городской) электросети через стабилизатор напряжения (сетевой фильтр) или мотор-генератор.

- Использование для отображения информации жидкокристаллических или плазменных дисплеев, а для печати - струйных или лазерных принтеров.

- Размещение дисплея, системного блока, клавиатуры и принтера на расстоянии не менее 2,5-3,0 метров от устройств освещения, кондиционирования воздуха, связи (телефона), металлических труб, телевизионной и радиоаппаратуры, а также других ПЭВМ, не использующихся для обработки конфиденциальной информации.

- Отключение ПЭВМ от локальной сети или сети удаленного доступа при обработке на ней конфиденциальной информации, кроме случая передачи этой информации по сети.

- Установка принтера и клавиатуры на мягкие прокладки c целью снижения утечки информации по акустическому каналу.

- Во время обработки ценной информации на ПЭВМ рекомендуется включать устройства, создающие дополнительный шумовой фон (кондиционеры, вентиляторы), а также обрабатывать другую информацию на рядом стоящих ПЭВМ. Эти устройства должны быть расположены на расстоянии не менее 2,5-3,0 метров.

- Уничтожение информации непосредственно после ee использования.

В процессе организационных мероприятий необходимо определить: 1) контролируемую зону (зоны);

2) выделить из эксплуатируемых технических средств технические средства, используемые для передачи, обработки и хранения конфиденциальной информации (ОТСС).

ОТСС - технические средства, предназначенные для передачи, обработки и хранения конфиденциальной информации. К ним относятся используемые для этих целей: системы внутренней (внутриобъектовой) телефонной связи (волоконнооптические каналы связи используемые для постановки заданий на НРКП, доставку информации от ранее поставленного задания опреатору для проведения обработки информации);

внутренняя служебная и технологическая системы связи;

системы звукозаписи и звуковоспроизведения (магнитофоны, диктофоны) и т.п..

ОТСС по степени их гарантированной защищенности могут быть разделены на следующие: сертифицированные по требованиям защиты информации (имеющие соответствующие сертификаты на средства и системы, непосредственно обрабатывающие, хранящие и передающие информацию);

не имеющие таких сертификатов, но прошедшие инструментальные исследования, позволяющие определить характеристики их защиты (имеющие соответствующие протоколы исследований);

другие средства и системы. выявление в контролируемой зоне (зонах) вспомогательные технические средства и системы (ВТСС).

ВТСС - средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной (секретной) информации, на которые могут воздействовать электрические, магнитные и акустические поля опасных сигналов. К ним могут относиться: 1) системы звукоусиления, предназначенные для обслуживания несекретных мероприятий;

2) различного рода телефонные системы, предназначенные для несекретных переговоров и сообщений (городская телефонная связь, системы внутренней телефонной связи c выходом и без выхода в город);

3) системы специальной охранной сигнализации (ТСО), технические средства наблюдения;

4) системы пожарной сигнализации;

5) системы кондиционирования;

6) системы проводной, радиотрансляционной сети приема программ радиовещания;

7) телевизионные абонентские системы;

8) системы звукозаписи и звуковоспроизведения несекретной речевой информации (диктофоны, магнитофоны);

9) системы электроосвещения и бытового электрооборудования (светильники, люстры, настольные вентиляторы, электронагревательные приборы, проводная сеть электроосвещения);

10) электронная оргтехника - множительная, машинописные устройства, вычислительная техника.

Помещения, которые подлежат защите, определяются как выделенные и подразделяются на: 1) помещения, в которых отсутствуют ОТСС, но циркулирует конфиденциальная акустическая информация (переговоры, выступления, обсуждения и т.п.);

2) помещения, в которых расположены ОТСС и ВТСС и циркулирует конфиденциальная акустическая информация;

3) помещения, в которых расположены ОТСС и ВТСС, но циркулирует не конфиденциальная акустическая информация.

Выявить наличие в выделенных помещениях оконечных устройств основных ОТСС и ВТСС. По результатам этих работ, составляются протоколы обследования помещений. Форма протоколов произвольная. Обобщенные данные протоколов оформляются актом, утверждаемым руководством предприятия c приложением следующих документов: 1) планов контролируемой зоны или зон объектов предприятия;

2) перечня выделенных помещений первой, второй и третьей групп c перечнем элементов технических средств (ВТСС и ОТСС), размещенных в них;

3) перечня основных ОТСС;

4) перечня ВТСС, имеющих цепи, выходящие за пределы контролируемой зоны (зон);

5) перечня технических средств, кабелей, цепей, проводов, подлежащих демонтажу;

6) схемы кабельных сетей предприятия c указанием типов кабелей, трасс их прокладки, принадлежности к используемым системам.

Защита информации может осуществляться инженерно-техническими и криптографическими способами.

Техническая защита конфиденциальной информации - защита информации некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ee уничтожения, искажения или блокирования.

Технические мероприятия проводятся по мере приобретения предприятием или организацией специальных устройств защиты и защищенной техники и направлены на блокирование каналов утечки конфиденциальной информации и ee защиты от несанкционированного и непреднамеренного воздействия c применением пассивных и активных методов защиты информации.

Необходимость проведения технических мероприятий по защите информации определяется проведенными исследованиями защищаемых (выделенных) помещений c учетом предназначения этих помещений (их категории) и необходимости защиты этих объектов информатизации и расположенных в них средств звукозащиты, звуковоспроизведения, звукоусиления, тиражированного размножения документов, и т.п. При этом в зависимости от циркулирующей в выделенном помещении конфиденциальной информации и наличия ОТСС и ВТСС определяются основные мероприятия по акустической защищенности выделенного помещения; по защите ВТСС, находящихся в помещении, или их замене на сертифицированные, обладающие необходимыми защитными свойствами ВТСС, по защите линий связи ОТСС, по замене ОТСС на сертифицированные и т.п. сеть удаленный защита информация

2.5 Анализ программно-аппаратных комплексов защиты информации

В настоящее время существует множество программно-аппаратных комплексов, применяемых для защиты информации. Рассмотрим некоторые из них.

Система защиты информации "Secret Net 4.0"

Программно-аппаратный комплекс для обеспечения информационной безопасности в локальной вычислительной сети, рабочие станции и сервера которой работают под управлением следующих операционных систем: Windows"9x (Windows 95, Windows 98 и их модификаций); Windows NT версии 4.0; UNIX MP-RAS версии 3.02.00.

Безопасность рабочих станций и серверов сети обеспечивается c помощью всевозможных механизмов защиты: 1) усиленная идентификация и аутентификация;

2) полномочное и избирательное разграничение доступа;

3) замкнутая программная среда;

4) криптографическая защита данных;

5) другие механизмы защиты.

Администратору безопасности предоставляется единое средство управления всеми защитными механизмами, позволяющее централизованно управлять и контролировать исполнение требований политики безопасности. Вся информация о событиях в информационной системе, имеющих отношение к безопасности, регистрируется в едином журна