Захист інформації від акустичного і віброакустичного каналу

Зона 2:

Система вентиляції та опалювання може бути джерелом паразитних наведень з боку зовнішньої апаратури. Тому застосовуємо засоби відбиття загроз: установлюємо спеціальні шумові пристрої на трубах  опалювання та коробах вентиляції, що створюють електромагнітне поле перешкод . Крім того повинні бути проведені роботи по капітальному ремонту цих систем, заміна усіх труб на метало пластикові. Відповідальність за проведені роботи покладається на представників організацій, що взаємодіють з питань технічного забезпечення  водо- теплопостачання про що має бути складений відповідний акт. Зовні люк повинен бути захищений ґратами, лози яких розташовуються хрестом або ромбом. Для запирання ґрат використовуються замки з протяжними скобами, крім того, в місці розташування замка приварюється металевий лист.             

Зона 3:

Основне приміщення (стіни, перекриття)  обладнується  сейсмічними сенсорами на п’єзоелектричному ефекті. Даним способом здійснюється захист від механічного проникнення в будівлю і попередження впливів навколишнього середовища (землетруси, шквали й інші стихійні лиха природи).

Вікна оснащуються контактними сенсорами і засобами відбиття загроз: екрануванням, генераторами шуму і ущільнюють . Крім того, вікна  між 2-ма віконними рамами обладнуються ґратами, що замикаються  на замки з протяжними скобами.

Два гловних входи представляють собою стальні двері оброблені декоративним покриттям. Для замикання таких дверей використовується багаторігельний врізний замок з електронним кодовим доступом. Код доступу для кожної особи різний і періодично змінюється СБ. Відомостями про кодові комбінації володіє СБ, вона ж здійснює видачу їх персоналу з відповідним розписом особи про нерозголошення. Доступ відвідувачів  через головний вхід здійснюється виключно під наглядом охоронця. Також забезпечується камера відео-спостереження яка здійснює  нагляд за головним входом і розташована на огорожі.             

Зона 4:

Коридор повинен бути оснащений камерами таємного спостереження, відомостями про знаходження яких повинні  володіти виключно працівники СБ, та відкритою камерою спостереження навпроти входу. Працівниками СБ періодично повинна проводитись перевірка вестибюлю на наявність сторонніх предметів.  Також повинна бути проведена система пожежної сигналізації з властивістю нейтралізації місця пожежі. Подібні системи встановлюються в усіх приміщеннях об’єкту.

Входи в приміщення захищаються дверима з багаторігельними замками з електронним кодовим доступом. Кожна особа персоналу має доступ у визначені приміщення, що призначаються СБ. Доступ відвідувачів у приміщення допускається тільки при присутності осіб з СБ персоналу.

3.      Рівні захисту

Успіх в області інформаційної безпеки може принести тільки комплексний підхід, що уособлює в собі заходи чотирьох рівнів:

-                     законодавчого;

-                     адміністративного;

-                     процедурного;

-                     програмно-технічного.

Законодавчий рівень

Проблема ІБ - не тільки (і не стільки) технічна; без законодавчої бази, без постійної уваги керівництва організації й виділення необхідних ресурсів, без заходів керування персоналом і фізичного захисту вирішити її неможливо. Комплексність також ускладнює проблематику ІБ; необхідна взаємодія фахівців з різних галузей.

Законодавчий рівень є найважливішим для забезпечення інформаційної безпеки. Необхідно всіляко підкреслювати важливість проблеми ІБ;сконцентрувати ресурси на найважливіших напрямках досліджень; скоординувати освітню діяльність; створити й підтримувати негативне відношення до порушників ІБ - все це функції законодавчого рівня.

На законодавчому рівні особливої уваги заслуговують правові акти й стандарти.

При розробці комплексної системи захисту інформації для нашого виділеного приміщення було опрацьовано такі основні нормативні документи:

1.     ЗАКОН УКРАЇНИ «Про інформацію»

Цей Закон регулює відносини щодо створення, збирання, одержання, зберігання, використання, поширення, охорони, захисту інформації.

Види інформації за змістом:

     За змістом інформація поділяється на такі види:

-         інформація про фізичну особу;

-         інформація довідково-енциклопедичного характеру;

-         інформація про стан довкілля (екологічна інформація);

-         інформація про товар (роботу, послугу);

-         науково-технічна інформація;

-         податкова інформація;

-         правова інформація;

-         статистична інформація;

-         соціологічна інформація;

-         інші види інформації.

2.      ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ Захист інформації. Технічний захист інформації. Основні положення (ДСТУ 3396.0-96)

Цей стандарт установлює об’єкт, мету, основні організаційно-технічні положення забезпечення технічного захисту інформації (ТЗІ), неправомірний доступ до якої може завдати шкоди громадянам, організаціям (юридичним особам) та державі, а також категорії нормативних документів системи ТЗІ.

Вимоги стандарту обов’язкові для підприємств та установ усіх форм власності і підпорядкування, громадян - суб’єктів підприємницької діяльності, органів державної влади, органів місцевого самоврядування, військових частин усіх військових формувань, представництв України за кордоном, які володіють, користуються та розпоряджаються інформацією, що підлягає технічному захисту.

3.      ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ Захист інформації Технічний захист інформації. Порядок проведення робіт (ДСТУ 3396.1-96)

Цей стандарт установлює вимоги до порядку проведення робіт з технічного захисту інформації (ТЗІ).

Вимоги стандарту обов`язкові для підприємств та установ усіх форм власності й підпорядкування, громадян-суб`єктів підприємницької діяльності, органів державної влади, органів місцевого самоврядування, військових частин усіх військових формувань, представництв України за кордоном, які володіють, користуються та розпоряджаються інформацією, що підлягає технічному захисту.

4.      ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ Захист інформації. Технічний захист інформації. Терміни та визначення

Цей стандарт установлює терміни та визначення понять у сфері технічного захисту інформації (ТЗІ).

Терміни, регламентовані у цьому стандарті, обов'язкові для використання в усіх видах організаційної та нормативної документації, а також для робіт зі стандартизації, і рекомендовані для використання у довідковій та навчально-методичній літературі, що належить до сфери технічного захисту інформації.

Терміни стандарту є обов'язковими для використання підприємствами та установами усіх форм власності і підпорядкування, громадянами - суб'єктами підприємницької діяльності, міністерствами (відомствами), центральними і місцевими органами державної виконавчої влади, військовими частинами усіх військових формувань, представництвами України за кордоном, які володіють, використовують та розпоряджаються інформацією, що становить державну чи іншу передбачену законом таємницю або є конфіденційною інформацією, яка належить державі.

5.      ЗАКОН УКРАЇНИ «Про радіочастотний ресурс України»

Цей Закон встановлює правову основу користування радіочастотним ресурсом України, визначає повноваження держави щодо умов користування радіочастотним ресурсом України, права, обов'язки і відповідальність органів державної влади, що здійснюють управління і регулювання в цій сфері, та фізичних і юридичних осіб, які користуються та/або мають намір користуватися радіочастотним ресурсом України.

6.     ЗАКОН УКРАЇНИ «Про державну таємницю»

Цей Закон регулює суспільні відносини, пов'язані з віднесенням інформації до державної таємниці, засекречуванням, розсекречуванням її матеріальних носіїв та охороною державної таємниці з метою захисту національної безпеки України.

Крім того, всі технічні засоби захисту, які встановлюються на об’єкті захисту повинні бути сертифіковані та ліцензовані в Україні. Це повинно бути підтверджено відповідними сертифікатими.

Адміністративний рівень

Головне завдання засобів адміністративного рівня - сформувати програму робіт в області інформаційної безпеки й забезпечити її виконання, виділяючи необхідні ресурси й контролюючи стан справ.

Основою програми є політика безпеки, що відбиває підхід організації до захисту своїх інформаційних активів.

Розробка політики й програми безпеки починається з аналізу ризиків, першим етапом якого, у свою чергу, є ознайомлення з найпоширенішими загрозами.

Головні загрози - внутрішня складність ІС, ненавмисні помилки штатних користувачів, операторів, системних адміністраторів й інших осіб, що обслуговують інформаційні системи.

На другому місці по розміру збитку стоять крадіжки й підробки.

Реальну небезпеку представляють пожежі й інші аварії підтримуючої інфраструктури.

У загальному числі порушень росте частка зовнішніх атак, але основний збиток як і раніше наносять "свої". Тому при прийомі працівників на роботу з ними підписується трудовий договір або контракт. В контракті (трудовому договорі) обов’язково вказується пункт про те, що працівники не маються права розголошувати будь-яким чином інформацію, з якою працюють. За розголошення наступає адміністративна або кримінальна відповідальність. Оскільки в будь-якій системі завжди існує «людський фактор», то потрібно також вжити заходів, щоб мінімізувати ймовірність його появи. Людський фактор може проявлятись, наприклад, у підкупі працівників конкуруючою фірмою. Відповідно потрібно забезпечити працівникам такі умови праці, щоб у них не виникало потреби і бажання переступати закон та положення трудового договору (контракту). Можна, наприклад, забезпечити працівникам обов’язковий медичний поліс страхування, відвідування фітнес-центру один раз на тиждень за рахунок фірми. Також організовувати путівки на бази відпочинку в Карпати та Крим. Для дітей співробітників забезпечити путівки у табори відпочинку.

Процедурний рівень

Основні класи заходів процедурного рівня:

1)     керування персоналом;

2)     фізичний захист;

3)     підтримка працездатності;

4)     реагування              на порушення              режиму              безпеки,              планування відновлювальних робіт.

Керування персоналом

Керування персоналом починається із прийому нового співробітника на роботу й навіть раніше - зі складання посадових інструкцій. Уже на даному етапі бажано підключити до роботи фахівця з інформаційної безпеки для визначення комп'ютерних привілеїв, асоційованих з посадою.

Існує два загальних принципи, які варто мати на увазі:

                  розподіл обов'язків;

                  мінімізація привілеїв.

Принцип розподілу обов'язків пропонує так розподіляти ролі й відповідальність, щоб одна людина не могла порушити критично важливий для організації процес.

Принцип мінімізації привілеїв пропонує виділяти користувачам тільки ті права доступу, які необхідні їм для виконання службових обов'язків. Призначення цього принципу очевидно - зменшити збиток від випадкових або навмисних некоректних дій.

Фізичний захист

Безпека інформаційної системи залежить від оточення, у якому вона функціонує. Необхідно прийняти заходи для захисту будинків і прилягаючої території підтримуючої інфраструктури, обчислювальної техніки, носіїв даних.

Основний принцип фізичного захисту, дотримання якого варто постійно контролювати, формулюється як "безперервність захисту в просторі й часі", Раніше ми розглядали поняття вікна небезпеки. Для фізичного захисту таких вікон бути не повинно.

Напрямки фізичного захисту:

-         фізичне керування доступом;

-         протипожежні заходи;

-         захист підтримуючої інфраструктури;

-         захист від перехоплення даних;

-         захист мобільних систем.

Засоби фізичного керування доступом дозволяють контролювати й при необхідності обмежувати вхід та вихід співробітників і відвідувачів. Контролюватися може весь будинок організації, а також окремі приміщення, наприклад, ті, де розташовані сервери, комунікаційна апаратура й т.п.

необхідність установки протипожежної сигналізації й автоматичних засобів пожежогасіння. Звернемо також увагу на те, що захисні заходи можуть створювати нові слабкі місця.

До підтримуючої інфраструктури можна віднести системи електро-, водо-і теплопостачання, кондиціонери й засоби комунікацій. У принципі, до них можна застосувати ті ж вимоги цілісності й доступності, що й до інформаційних систем. Для забезпечення цілісності потрібно захищати устаткування від крадіжок та ушкоджень. Дія підтримки доступності варто вибирати устаткування з максимальним терміном праці на відмову, дублювати відповідальні вузли й завжди мати під рукою запчастини.