CC BY
272
чен для проведения оперативных мероприятий по обнаружению и локализации технических средств негласного получения информации; OSCOR-5000 - предназначен для контроля различных каналов утечки информации и способен производить поиск и локализацию широкого спектра средств несанкционированного съема информации.
В ходе выполнения работы была произведена классификация основных угроз утечки информации из защищаемого помещения по телефонной линии, ранжирование способов съема информации с телефонного аппарата на основе экономико-статистических данных, на базе этого был сделан вывод, что среди многообразия способов применяется наиболее часто простой гальванический ме-
тод прослушивания телефонных разговоров. А также были описаны средства и методы защиты телефонного аппарата от рассмотренных угроз.
Литература
1. Гребенников А.В. Соотношение понятий «коммерческая тайна» и «банковская тайна» [Электронный ресурс]. URL: http://www.stavedu.ru
2. Общие принципы защиты [Электронный ресурс]. URL: http://www.pitbot.ru
3. Игнатьев В.А. Информационная безопасность современного коммерческого предприятия: монография. Старый Оскол: ТНТ, 2005.
4. Абалмазов Э.И. Новая технология защиты телефонных разговоров [Электронный ресурс]. ЦЯЬ: http://ess.ru
УДК 004.056.52
РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО ОРГАНИЗАЦИИ СИСТЕМЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ НА МАШИНОСТРОИТЕЛЬНОМ ПРЕДПРИЯТИИ
Е.О. Колупаева, И.А. Зауголков
В работе приведен анализ существующей системы защиты конфиденциальной информации на машиностроительном предприятии и разработан комплекс мер по ее совершенствованию.
Ключевые слова: конфиденциальная информация, несанкционированный доступ, средства защиты информации.
В связи со стремительным развитием информационных технологий происходит невероятный скачок роста конкурентной борьбы компаний за выход на лидирующие позиции, в результате чего возникает угроза утечки значимой для организации информации.
Конфиденциальная информация формируется предприятием в процессе всего периода ее функционирования на рынке. Она касается деятельности организации, ее потребителей, поставщиков, конкурентов.
Таким образом, конфиденциальная информация, обращающаяся в организации, в системе информационного законодательства России занимает одно из важнейших мест [1].
Целью работы является разработка комплекса мер по защите конфиденциальной информации на машиностроительном предприятии.
Для достижения поставленной цели необходимо выполнить ряд задач, а именно:
1) оценить необходимость защиты информации на предприятии;
2) построить модель объекта защиты, злоумышленника, технических каналов утечки информации;
3) разработать комплекс мер по защите информации.
Построение комплексной системы защиты конфиденциальной информации машиностроительного предприятия позволит обеспечить надежную защиту данных от злоумышленника, тем самым защитить свой бизнес от рисков, влекущих финансовые потери, и заработать большее доверие со стороны своих поставщиков и потребителей, расширив границы сотрудничества.
В работе определена необходимость защиты информации на машиностроительном предприятии, включающая оценку состояния защищенности предприятия по выбранным направлениям: состав и структура службы безопасности, правовое обеспечение безо-
Психолого-педагогический журнал Гаудеамус, №2 (20), 2012
пасности, организационные меры защиты, инженерно-техническое обеспечение безопасности, управление безопасностью.
Проанализированы основные внутренние нормативные документы по обеспечению безопасности конфиденциальной информации: устав предприятия, трудовой договор, должностная инструкция начальника отдела информационных технологий, положения о конфиденциальной информации, об отделе информационных технологий, об использовании сети Интернет, информационной системы, мобильных устройств и носителей информации, электронной почты, а также о сохранности коммерческой тайны.
По результатам анализа циркуляции информации на предприятии составлена схема, на которой представлена связь отделов между собой, показано, какая документация циркулирует между ними. Исследованы существующие на предприятии методы и средства защиты.
Собранный на первом этапе материал, структурирование защищаемой информации (классификация информации, источники информации, места размещения или хранения носителей информации, компьютерных систем) позволили сделать вывод, что предприятие располагает достаточно большим объемом конфиденциальной информации, нуждающейся в защите.
На следующем этапе произведено моделирование угроз безопасности объекта защиты, которое включало и моделирование объекта защиты. Исследована организация контроля и управления доступом на объекте.
Определен уровень исходной защищенности информационной системы. Каждой характеристике информационной системы проставлен уровень защищенности, исходя из которого произведен расчет общего уровня исходной защищенности конфиденциальной информации, который равен 71,42 % (средний уровень). По итогам оценки уровня исходной защищенности и вероятности реализации угрозы рассчитан коэффициент и определена возможность реализации угрозы.
Выявлен перечень актуальных угроз безопасности конфиденциальной информации в информационной системе: угрозы утечки акустической информации, утечка информации по каналам ПЭМИН, угрозы,
реализуемые в ходе загрузки операционной системы, локальное внедрение вредоносных программ, угрозы «анализ сетевого трафика» с перехватом передаваемой по сети информации, угрозы сканирования, направленные на выявление открытых портов и служб открытых соединений и др., угрозы внедрения ложного объекта сети, угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных, угрозы выявления паролей, угрозы удаленного запуска приложений, угрозы внедрения по сети вредоносных программ.
Разработаны модели технических каналов утечки информации и действий злоумышленника.
На основе имеющихся данных рассчитаны риск ресурса (сервер), на основе трех базовых угроз - нарушение конфиденциальности, целостности и доступности (37,4 %) и риск невыполнения требований ГОСТ Р ИСО/МЭК 17999-2005 (46,5 %). Полученные результаты являются средними, что говорит о неэффективности принятых мер и средств защиты информации на предприятии.
Заключительный этап работы посвящен разработке мер по защите конфиденциальной информации на машиностроительном предприятии.
Анализ имеющейся системы защиты и технических средств защиты информации, представленных на рынке, позволил выбрать необходимые средства, лучшие по соотношению цена/эффективность. Были предложены к использованию извещатель охранный периметровый трибоэлектрический «Гюрза-035ПЗ», электронная проходная Perco KT-02, встраиваемый в ПЭВМ генератор шума ГШ-К-1800 предназначенный для маскировки побочных электромагнитных излучений, локальных вычислительных сетей на базе ПЭВМ путем создания маскирующих активных помех. В совещательных комнатах рекомендуется установить блокиратор сотовых телефонов Мозаика-ЗДМ.
Что касается программно-аппаратных средств защиты, то эффективна и актуальна система Dallas Lock 7.7, которая позволяет достаточно просто осуществлять контроль посещаемости и трудовой дисциплины, а также делает надежной процедуру аутентификации сотрудников организации. В качестве
программного средства защиты было предложено программное решение, обеспечивающее защиту компьютера с применением межсетевого экрана, антивируса и средства обнаружения вторжений - Security Studio Endpoint Protection, имеющий сертификат ФСТЭК.
Использование предложенных средств является необходимым и достаточным условием для обеспечения защиты конфиденциальной информации на предприятии [2].
Литература
1. Игнатьев В.А. Информационная безопасность современного коммерческого предприятия: монография. Старый Оскол: ТНТ, 2005.
2. Зауголков И.А., Михайлова Е.М. Повышение качества подготовки специалистов в области информационной безопасности // Вестник Тамбовского университета. Сер.: Естественные и технические науки. Тамбов, 2009. Т. 14, вып. 5. С. 914.
УДК 004.056.5
ПОДГОТОВКА ИСПДН ОТДЕЛОВ ЗАГС ТАМБОВСКОЙ ОБЛАСТИ К АТТЕСТАЦИИ
М.С. Крайнов, М.С. Зуев
Данная статья описывает процесс подготовки объектов информатизации к процессу аттестации применительно к автоматизированным рабочим местам отделов ЗАГС Тамбовской области. Рассматриваются требования и основные регламентирующие документы.
Ключевые слова: аттестация объектов информатизации, защита информации.
Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:
- разработка пакета аттестационных документов;
- проведение аттестационных испытаний.
Практический опыт в разработке пакета организационно-распорядительной документации для конкретного объекта информатизации показал, что создание его требует много времени. Решением данной проблемы стала идея разработки программы, которая на основе шаблонов создает практически готовые документы. Идея программы заключается в следующем: так как документы объектов информатизации одинаково класса АС и ИСПДн схожи, то можно из них создать шаблоны, заменив основные изменяющиеся данные на переменные [1-3].
Для автоматизированного сбора информации об аппаратном и программном обеспечении АРМ используется программное средство «Агент инвентаризации». Для того, чтобы обработать информацию, собранную «Агентом инвентаризации», и использовать ее при создании документа «Список программного обеспечения АРМ», требуется много времени. Чтобы уменьшить время до минимума, можно написать программу, которая преобразовывает текстовый файл, со-
держащий структурированный отчет «Агента инвентаризации» о ПО, в таблицу.
Для описательного представления свойств или характеристик угроз безопасности информации создается документ «Модель угроз...». Модель угроз безопасности персональных данных необходима для определения требований к системе защиты. Модель угроз содержит систематизированный перечень угроз безопасности персональных данных при их обработке в ИСПДн. В Модели угроз дано:
- обобщенное описание ИСПДн;
- возможных источников УБПДн;
- основных классов уязвимостей ИСПДн;
- возможных видов деструктивных воздействий на ПДн, а также основных способов их реализации.
На основании результатов обследования и разработанной модели угроз безопасности ПДн и модели нарушителя разрабатывается техническое задание на создание СЗПДн объектов информатизации. Техническое задание содержит детализированные требования к техническим средствам защиты информации и организационным мерам обеспечения информационной безопасности при построении СЗПДн объектов информатизации.
Для автоматизированной подготовки документов «Модель угроз ИСПДн», «Частное техническое задание» и другой документации применяется программный комплекс
