CC BY
208
УДК 004.056.53
ИНЖЕНЕРНО-ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ ПИЩЕВОЙ ПРОМЫШЛЕННОСТИ
Д.Н. Саплин, А.В. Самохвалов
В работе описан процесс разработки мер по инженерно-технической защите информации на предприятии пищевой промышленности. Проведено обследование предприятия, выявлены возможные каналы утечки информации, информационные ресурсы, представляющие наибольший интерес для злоумышленника, произведен подсчет возможного ущерба в результате реализации выявленных угроз. Предложены инженерно-технические меры по защите информации на предприятии.
Ключевые слова: инженерно-техническая защита информации, защита информации на предприятии пищевой промышленности.
Целью данной работы является разработка комплекса инженерно-технических мер по защите информации на предприятии пищевой промышленности на примере ОАО «Сахарный завод «Жердевский». Реализованный комплекс мер по инженерно-технической защите информации позволит повысить уровень защищенности конфиденциальной информации предприятия.
На рассматриваемом нами предприятии выявлены информационные ресурсы, представляющие наибольший интерес для потенциального злоумышленника. Это финансовые балансы, объем капитала вложений, ценовая политика, план модернизации, данные
о поставщиках, номера счетов в банке, договоры с партнерами, штатное расписание, список состава кадров, личные данные руководства, схема размещения рабочих мест, протоколы совещаний и переговоров, личные данные сотрудников предприятия. При передаче информации между отделами преимущественно используется бумажные носители, что повышает риск потери информации или же перехвата ее злоумышленником. При передаче информации с использованием электронного документооборота также имеются существенные недостатки, такие как отсутствие системы аутентификации и идентификации пользователей, поэтому случайно оставленный включенным компьютер может стать очень хорошим источником нужной информации для злоумышленника. Подтверждением этому служит факт полного отсутствия политики безопасности предприятия. Также злоумышленник, попав внутрь здания, может без всякого труда попасть практически в любой кабинет, так как используемые двери со встроенными замками
по своей надежности оставляют желать лучшего. В комнате переговоров и совещаний кроме дверей и стен стандартного состава отсутствуют инженерные и технические приборы защиты информации, что в свою очередь может также сопутствовать наиболее легкому съему информации злоумышленником. С учетом используемой в защищаемом помещении аппаратуры возможно образование каналов утечки информации и несанкционированного воздействия на нее за счет:
- низкочастотных электромагнитных полей, возникающих при работе технических средств (ОТСС и ВТСС);
- воздействия на расположенные в защищаемом помещении технические средства (ОТСС и ВТСС) электрических, магнитных и акустических полей;
- возникновения паразитной высокочастотной генерации;
- прохождения опасных информативных сигналов в цепи электропитания и заземления.
Нами произведен подсчет возможного ущерба в результате реализации выявленных угроз или же утечки информации. Для подсчета использовался метод оценки по верхним и нижним значениям [1] и согласно этому расчету нижнее значение составляет 1 142 500 руб. в год, а верхнее 1 639 000 руб. в год.
Для снижения рисков потери информации по материально-вещественному каналу было принято решение о замене сейфов устаревшей модификации на более новые и надежные. Новые сейфы установлены в кассу, бухгалтерию, кабинет главного бухгалтера, генерального директора, заместителей
2. Тенденции и особенности развития систем информационной безопасности
директора, в финансово-экономический отдел и отдел кадров.
В кабинет генерального директора, кассы, главного бухгалтера и в бухгалтерию установлены сейфы Гарант (евро) 46. Этот сейф универсальный огневзломостойкий, обеспечивает надежное хранение и защиту как от кражи, так и от пожара. Предназначен для хранения денег, документов и ценностей. Изделие прошло сертификационные испытания в соответствии с международными стандартами. Взломостойкость: grade 1 (ECB-S) - EN 1143-1 (Евросоюз), 2 класс - ГОСТ Р 508622005 (Россия). Огнестойкость: LFS 60P - EN 15659 (Евросоюз), 90Б - ГОСТ Р 50862-2005 (Россия). Массивный корпус имеет прочную многослойную («сэндвичевую») структуру: пространство между двойными стальными стенками залито огнеупорным наполнителем (армированным бетоном). В конструкции сейфа используется «тепловой замок», препятствующий прохождению огня. Запирающая система сейфа Г арант (евро) 46 представлена трехсторонней усиленной ригельной системой запирания и высокосекретным ключевым замком (KabaMauer, Германия). Цена одного экземпляра составляет 21000 руб.
В финансово-экономический отдел установлены менее габаритные сейфы Гарант 32 (BRF-32). Этот сейф отечественного производства, сочетающий огнестойкие качества со взломостойкими. Гарант 32 предназначен для хранения документов, денег и ценностей, защиты их от пожара и взлома. Данное изделие прошло сертификационные испытания в соответствии с российским стандартом ГОСТ Р 50862-2005: взломостойкость -1 класс, огнестойкость - класс 60Б. Цена данного сейфа равна 12000 руб.
Для заместителей директора, секретаря и в отдел кадров были установлены сейфы Гарант 46, сочетающие огнестойкие качества со взломостойкими. Этот универсальный сейф предназначен для надежного хранения документов, денег и ценностей, для защиты их от кражи и пожара. Изделие прошло сертифицированные испытания в соответствии с ГОСТ Р 50862-2005: взломостойкость - 1 класс, огнестойкость - класс 60Б. Цена такого сейфа составляет 15000 руб.
На предприятии есть несколько помещений, в которых необходимо использование
шредеров - это архив, финансово-экономический отдел, бухгалтерия, кабинеты главного бухгалтера, генерального директора и заместителей директора. Нами установлены шредеры PRO KGB C-11CC. Данная модель имеет полностью автоматическое управление. Степень секретности DIN 32757-1 соответствует 6 уровню. Фрагмент резки
0,8x0,8 мм уничтожает лист форматом A4 на 90 000 фрагментов.
Для снижения вероятности наблюдения извне за комнатами переговоров с использованием оптических приборов было принято решение об установке окон с зеркальным защитным напылением, а также об установке на окнах жалюзи. Размер окон во всех помещениях предприятия составляет 150 см х 150 см. Количество окон, которые необходимо заменить, составляет 15 штук. Стоимость одного окна и стекол с зеркальным напылением составляет 11000 руб. Стоимость одного комплекта жалюзи с шириной ламели 16 мм без учета стоимости установки составляет 2200 руб. Специальное напыление позволяет получить высокие результаты при защите от специально организованных каналов утечки информации («жучков») и от опасного излучения сигналов различными техническим средствами. Достигаемое затухание дает возможность в 10-100 раз уменьшить расстояние возможного перехвата информации, содержащейся в сигнале. Благодаря зеркальным свойствам возможно создание эффекта односторонней просматриваемо^™. Это в свою очередь практически полностью устраняет возможность просматривания помещения снаружи.
Как отмечают исследователи, игнорирование процессов обучения пользователей компьютерных систем может привести к серьезным проблемам [2]. В связи с этим нами проведено обучение сотрудников предприятия, указаны основные виды угроз и способы борьбы с ними.
Для предотвращения перехвата речевой информации в комнатах переговоров нами установлен генератор виброакустического шума ЛГШ-301. Данный генератор предназначен для защиты речевой информации от перехвата по прямому акустическому, виб-роакустическому и оптикоакустическому каналам. ЛГШ-301 используется в условиях замкнутого пространства с питанием от сети
переменного тока 220 В. Данная модель защищает пространство объемом до 50 м3. Принцип действия предлагаемой модели основан на генерации «белого шума» в акустическом диапазоне частот и, как следствие, повышении отношения акустическая помеха/речевой сигнал.
Для обнаружения запрещенных металлических предметов на проходной предприятия нами установлен многозонный арочный металлодетектор GARRETT PD-6500i.
Общая сумма затрат на предложенные нами меры составляет 607 023 руб. Подсчеты показали, что возможный годовой ущерб в результате утечки информации на пред-
приятии составляет от 1 142 500 руб. до
1 639 000 руб. в год. Соответственно период окупаемости предложенных мер составляет чуть более половины года.
Литература
1. Татенко А.В., Самохвалов А.В. Комплексная защита информации на медицинском предприятии // Гаудеамус. Тамбов, 2011. № 18. С. 111-113.
2. Лопатин Д.В., Самохвалов А.В., Бурлака С.Ю. Современное развитие информационных ресурсов, ориентированных на информационную безопасность и защиту информации // Вестник Тамбовского университета. Сер.: Естественные и технические науки. Тамбов, 2005. С. 116.
УДК 004.056.5
АНАЛИЗ ТЕХНИЧЕСКИХ СРЕДСТВ И МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ В КОММЕРЧЕСКОЙ ОРГАНИЗАЦИИ
Н.Ю. Сидорова
Рассмотрены каналы утечки информации при использовании сетевых технологий, технические средства противодействия этим каналам и методы расчета рисков потери информации путем анализа существующей системы безопасности.
Ключевые слова: информационная безопасность, каналы утечки информации, риски потери информации.
Большинство современных предприятий, независимо от вида деятельности и форм собственности, не может успешно вести хозяйственную и иную деятельность без обеспечения системы защиты своей информации, которая подвергается угрозам. Они в свою очередь направлены на внутренние информационные ресурсы и обуславливают наличие информационных рисков. Реализация событий, отождествляемых с этими рисками, во-первых, деструктивно влияет на информационную инфраструктуру, приводя к соответствующему ущербу, во-вторых, может порождать информационные угрозы, которые соотносятся с рисками в основной деятельности организации [1].
В работе проведен анализ каналов утечки информации с учетом особенностей размещения предприятия, рассмотрены технические средства, позволяющие осуществляющие противодействие утечки информации по каналам мобильной связи, но на основе имеющихся возможностей и особенностей функционирования предприятия необ-
ходимо учитывать, что всегда существуют угрозы, направленные на разрабатываемое программное обеспечение, базы данных и чертежи отдела. Именно поэтому следует осуществить непрерывный контроль информационной безопасности и провести ее анализ на основе расчета рисков.
Выражение, согласно которому осуществляется анализ информационной безопасности: и
Л — ^ ^ «у ^ ^п,
¿ = 1
где:
п — количество угроз для различных видов информации;
ку — коэффициент уязвимости, учитывающий специфику и вид защищаемой информации.
При этом потери определяются из выражения:
где:
Ткрит - критическая степень опасности потери информации;
