Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

2

Введение

Тема данной работы затрагивает немаловажную задачу, поставленную перед техником по информационной безопасности, а именно, анализирование и проектирование комплекса мер безопасности информации для предотвращения утечки конфиденциальной информации.

Самым древним и популярным способом обмена информацией между людьми является речь, чем активно пользуются злоумышленники, пытаясь перехватить конфиденциальную информацию. Понятен интерес злоумышленников в перехвате акустико-речевой информации, ведь именно речь содержит в себе информацию конфиденциального, а порой, и секретного характера. Информация играет ключевую роль при решении важных задач и вопросов, это относится и к государственным вопросам, так и к задачам, которые стоят перед компанией, а также отдельными гражданами. Вопрос защиты информации с каждым днем становится все более и более важным и значимым, так как в современном мире происходит скорейший прогресс в технических устройствах, аппаратуры и разведывательных систем, с помощью которых и может быть осуществлен незаконный съем информации.

Несанкционированный доступ к информации являет собой, в первую очередь, коммерческую составляющую. Всякая информация имеет свой характер и цену, эти параметры определяют такие показатели, как: уровень её засекреченности, кому данная информация принадлежит, а также область интересов, которую представляет эта информация. Интересная особенность в защите информации по акустическому каналу заключается в том, что она не материальна, и для её защиты одними техническими средствами не обойтись, необходимо подойти к решению защиты речевой информации комплексно, совместить технические и организационные мероприятия.

Аналитики, по роду деятельности, связанные с областью безопасности, утверждают, что от объема конфиденциальных сведений, речевая информация занимает 80%, что доказывает актуальность выбранной мною темы. С помощью комплексного подхода, разработанного в дипломной работе, можно будет избежать несанкционированного доступа к информации.

1. Аналитическая часть

1.1 Моделирование объекта защиты

На предприятии производится защита конфиденциальных документов: личных данных сотрудников, включающие паспортные данные, сведения о предыдущих местах работы; секретные данные (коммерческая тайна) о разрабатывающихся проектах.

В качестве объекта защиты выбран кабинет директора. Выбор кабинета директора как объекта защиты обусловлен следующими факторами: в кабинете директора циркулирует наиболее ценная для организации информация; кабинет посещают сотрудники организации всех должностных категорий по служебным и личным вопросам, а также посетители организации; в кабинете, как правило, различные радио - и электрические приборы, которые могут быть источниками побочных магнитных излучений и наводок; в кабинете много элементов интерьера и мебели, в которой легко спрятать закладные устройства. Объект расположен на улице Ленина. С юго-восточной стороны на расстоянии 100 метров находится жилой дом. С северо-западной стороны на расстоянии 60 метров находится еще один жилой 5-ти этажный дом, теплопровод (под землей) и водопровод (под землей). Расположение ТС показано на рисунке 1.

Рисунок 1 - Схема расположения ТС

Объект защиты представляет собой двухэтажное здание. Помещение, в котором обрабатывается конфиденциальная информация, расположено на втором этаже и разделено на две комнаты и коридор.

Для создания полной модели объекта защиты необходимо для начала определить ту информацию, которую необходимо защищать, поэтому необходимо провести её структурирование.

Структурирование производится путем классификации защищаемой информации в соответствии с функциями, задачами и дальнейшей привязкой элементов информации к их носителям. Детализацию информации целесообразно проводить до уровня, на котором элементу информации соответствует один источник.

Для выбранного объекта защиты структурная модель защищаемой информации приведена на рисунке 2.

Рисунок 2 - Классификация конфиденциальной информации

Таким образом, была проведена классификация и структурирование информации в соответствие с функциями, задачами и структурой организации, в результате чего защищаемая информация была представлена в виде отдельных элементов информации.

1.2 Анализ каналов несанкционированного съёма информации

Классификация технических каналов утечки информации.

Способы содержания и предоставления информации могут быть разными, иметь разный вид и различные физические носители. Информация, представляющая интерес, с точки зрения защиты информации обладает следующими основными формами:

- документная. Содержится в напечатанном виде на бумаге, на дисках и флеш-картах;

- виброакустическая (речевая). Данный вид информации возникает, когда происходят переговоры между лицами, обладающими необходимой информацией;

- телекоммуникационная. Телекоммуникационная информация содержится в технических средствах, использующихся на предприятии, а также в каналах связи.

Основными объектами защиты информации являются:

- ресурсы, которые содержат данные, относящиеся к государственной тайне и конфиденциальной информации;

- технические системы информатизации, имеющие доступ к информации и производящие её обработку, относится к государственной и коммерческой тайне.

В совокупности данные системы называются техническими средствами приема информации, её обработки, хранения и передачи (ТСПИ). Вместе с вышеприведенной системой используются вспомогательные технические средства и системы (ВТСС), непосредственно не участвующие в обработке конфиденциальной информации, но использующиеся совместно с ТСПИ и находящиеся в зоне, создаваемого ими электромагнитного поля. К данным средствам и системам относят: пожарную и охранную сигнализацию, бытовую технику, линии телефонной связи.

Организовывая защиту информации, нужно рассматривать ТСПИ как комплекс, включающий в себя стандартную аппаратуру, линии соединения элементов ТСПИ, коммутаторы, средства заземления и электропитания.

С точки зрения несанкционированного доступа к информации внимание привлекают ТСПИ и ВТСС, которые имеют выход за пределы контролируемой зоны (КЗ), значит в этой зоне могут появляться лица, которые не имеют пропуска на территорию.

Основной незаконный доступ к информации, который обрабатывает ТСПИ, производится по техническим каналам.

Техническим каналом утечки информации (ТКУИ) называют совокупность источника информации, линии связи, по которой распространяется информационный сигнал, шумов, препятствующих передаче сигнала в линии связи, и технических средств разведки (ТСР).

Для приема и измерения параметров сигналов служат ТСР.

Технические каналы утечки можно разделить по природе возникновения сигналов, среды в которой они распространены и способов использования ТСР на:

- для телекоммуникационной информации: электромагнитные, электрические и параметрические;

- для речевой информации: акустические, виброакустические, воздушные.

К электромагнитным каналам утечки информации относятся:

- побочные электромагнитные излучения (ПЭМИ) конструкций ТСПИ;

- ПЭМИ высокочастотных (ВЧ) генераторов в ТСПИ и ВТСС;

- ПЭМИ на частотах самовозбуждения усилителей низкой частоты (УНЧ) ТСПИ.

Захват побочных электромагнитных излучений ТСПИ осуществляются ТСР, которые размещены вне контролируемой зоны.

Электрические каналы утечки информации включают:

- наводки ПЭМИ ТСПИ с линий ВТСС;

- информационные сигналы линий электропитания ТСПИ;

- информационные сигналы с элементов заземления ТСПИ и ВТСС;

- съем информации за счет установки в ТСПИ устройств перехвата информации.

На рисунке 3 изображен канал утечки ПЭМИН.

Рисунок 3 - Канал утечки ПЭМИН

В помещениях, где установлены ТСПИ, и связанные с ним системы питания и заземления, возможна утечка сигналов по техническим каналам, через прямое подключение к линиям ВТСС и иным проводникам. Устройства, устанавливаемые в ТСПИ, которые перехватывают информацию, называют аппаратными закладками. Эти устройства представлены мини-передатчиками, информационный сигнал которых модулирует излучение.

В акустических ТКУИ средой для распространения акустических сигналов выступает воздушная среда.. Для перехвата акустической информации в роли ТСР используют микрофоны. Информативный сигнал, содержащий в себе необходимую информацию, либо записывается на переносное устройство типа диктофона, либо с помощью передатчиков направляется на контрольный пункт для дальнейшей записи.

В виброакустических ТКУИ средой для распространения акустических сигналов выступают ограждения конструкций зданий, сооружений (стены, потолки, полы), трубы водоснабжения. Виброакустический канал утечки информации на рассматриваемом объекте изображен на рисунке 4.

Рисунок 4 - Виброакустический канал утечки информации

Электроакустические технические каналы утечки информации создаются путем изменения акустических сигналов в электрические (электроакустические преобразования), включая перехват колебаний ВТСС.

В представленном канале утечки информации перехват колебаний в акустическом спектре осуществляется путем подключения к линиям ВТСС, высокочувствительных низкочастотных усилителей.

Оптико-электронный канал утечки акустической информации возникает за счет облучения лазерным лучом вибрирующих отражающих поверхностей, а именно: оконных стекол. Чтобы захватить речевой сигнал в данном канале используют специальные лазерные акустические локационные системы, которые чаще имеются лазерными микрофонами.

Подслушивание.

Простейшим вариантом перехвата информации является простое подслушивание, для этого способа не требуется спецаппаратура. Примером является диктофон, с акустоматом, который автоматически выключается при паузах в разговоре, чаще всего они монтируются в предметы или в интерьер.

Вне помещений, на открытом воздухе используется поочередное фланирование, действующее в зоне слышимости нескольких злоумышленников, которые в то же время прослушивают разговор и записывают его.

Известный способ просверливания отверстий в соседнем помещении и подслушивание и запись разговора через имеющееся отверстие, данный способ достаточно безопасен и дешев.

Продвинутым способом подслушивания является крепление вибродатчика за стеной необходимого помещения, после запись преобразуется и прослушивается сигнал, полученный таким путем. Данный способ дает возможность перехвата виброакустического сигнала через железобетонные стены. Очевидным плюсом вибродатчиков является то, что нет необходимости устанавливать их в самом помещении, достаточно расположить их в соседних кабинетах.

Перехват информации с помощью электронных средств.

Так как телефонная линия является наименее защищенным каналом связи, поэтому прослушивание телефонных разговоров всегда остается актуальным. Ввиду того, что сигналы телефонных линий проходят через линии электропередач, то прослушивание по данному каналу довольно простое и дешевое.

Для того чтобы подключиться к необходимому телефонному аппарату, необходимо либо подключиться к автоматической телефонной станции напрямую, либо нужно подключиться к этой линии в месте, между необходимым аппаратом объекта прослушивания и АТС. В большинстве случаев подключение производится к ближайшей к телефону распределительной коробке. Имеется возможность подключить подслушивающее устройство к линии последовательно, или параллельно.

Распространен метод подключения к телефонной линии с дальнейшей радиопередачей. Используя данный метод, захватываемые переговоры отправляются на контрольный пункт перехвата с помощью радиопередатчиков малого размера, наиболее распространенное название «жучок». Еще одним эффективным и скрытным методом является монтирование в телефон модуля, активируемого специальным кодом через любой другой аппарат. Злоумышленник набирает номер телефона, в который вмонтирован перехватчик, с любого телефона, далее используется портативный звукоизлучатель, тональный сигнал которого совпадает с частотой срабатывания модуля.

1.3 Моделирование угроз безопасности информации

Формирование требований БИ целесообразно выполнять в соответствии с последовательностью, предлагаемой методологией «Общих критериев»(ISO/IEC 15408-1:2009). На рисунке 5 представлена последовательность формирования функциональных требований безопасности (ФТБ) и требований доверия к безопасности для объекта оценки.

Рисунок 5 - Функциональные требования

Выделяют защиту речевой информации:

- в выделенном помещении, предназначенном для проведения конфиденциальных переговоров, в кабинетах руководства предприятия;

- на абонентском участке телефонной линии;

- на всем протяжении телефонной линии (от одного аппарата до другого).

Рекомендации нормативного документа по защите речевой информации следующие:

- В учреждении должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП;

- защищаемые помещения должны размещаться в пределах КЗ;

- не рекомендуется располагать ЗП на первых этажах зданий;

- защищаемые помещения рекомендуется оснащать сертифицированными по требованиям безопасности информации ОТСС и ВТСС;

- во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, устройств сотовой, пейджинговой, переносных магнитофонов и других средств аудио и видеозаписи;

- рекомендуется использовать в ЗП в качестве устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования, либо устанавливать в эти помещения аналоговые аппараты;

- звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП. Рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и применение шумопоглотителей;

- для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования). Рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления.

При эксплуатации ЗП необходимо предусматривать организационно режимные меры, направленные на исключение несанкционированного доступа в помещение:

- двери ЗП необходимо запирать на ключ;

- выдача ключей от ЗП производится лицам ответственным за это помещение;

- установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем специалиста по защите информации.

Оптический канал утечки информации реализовывается непосредственным восприятием глазом человека окружающей обстановки путем применения специальных технических средств, расширяющих возможности органа зрения по видению в условиях недостаточной освещенности, при удаленности объектов наблюдения и недостаточности углового разрешения. Это и обычное подглядывание из соседнего здания через бинокль, и регистрация излучения различных оптических датчиков в видимом или ИК-диапазоне, которое может быть модулировано полезной информацией. При этом очень часто осуществляют документирование зрительной информации с применением фотопленочных или электронных носителей. Наблюдение дает большой объем ценной информации, особенно если оно сопряжено с копированием документации, чертежей, образцов продукции и т.д. В принципе, процесс наблюдения сложен, так как требует значительных затрат сил, времени и средств. Схема визуально-оптического канала изображена на рисунке 6.

Рисунок 6 - Схема визуально-оптического канала утечки информации

Характеристики всякого оптического прибора (в т.ч. глаза человека) обусловливаются такими первостепенными показателями, как угловое разрешение, освещенность и частота смены изображений. Большое значение имеет выбор компонентов системы наблюдения. Наблюдение на больших расстояниях осуществляют объективами большого диаметра. Большое увеличение обеспечивается использованием длиннофокусных объективов, но тогда неизбежно снижается угол зрения системы в целом.

Видеосъемка и фотографирование для наблюдения применяется довольно широко. Используемые видеокамеры могут быть проводными, радиопередающими, носимыми и т.д. Современная аппаратура позволяет вести наблюдение при дневном освещении и ночью, на сверхблизком расстоянии и на удалении до нескольких километров, в видимом свете и в инфракрасном диапазоне (можно даже выявить исправления, подделки, а также прочесть текст на обгоревших документах). Известны телеобъективы размером всего со спичечный коробок, однако четко снимающие печатный текст на расстояниях до 100 метров, а фотокамера в наручных часах позволяет фотографировать без наводки на резкость, установки выдержки, диафрагмы и прочих тонкостей.

В условиях плохой освещенности или низкой видимости широко используются приборы ночного видения и тепловизоры. В основу современных приборов ночного видения заложен принцип преобразования слабого светового поля в слабое поле электронов, усиления полученного электронного изображения с помощью микроканального усилителя, и конечного преобразования усиленного электронного изображения в видимое отображение (с помощью люминесцентного экрана) в видимой глазом области спектра (почти во всех приборах - в зеленой области спектра). Изображение на экране наблюдается с помощью лупы или регистрирующего прибора. Такие приборы способны видеть свет на границе ближнего ИК-диапазона, что явилось основой создания активных систем наблюдения с лазерной ИК-подсветкой (комплект для ночного наблюдения и видеосъемки для дистанционного наблюдения и фотографирования в условиях полной темноты с использованием специального инфракрасного лазерного фонаря). Конструктивно приборы ночного видения могут выполняются в виде визиров, биноклей, очков ночного видения, прицелов для стрелкового оружия, приборов для документирования изображения.

1.4 Классификация методов и средств защиты информации от несанкционированного съема

Для обеспечения защиты информации от утечки и несанкционированного доступа должны быть проведены организационно-технические мероприятия, мониторинг помещений на предмет скрытых подслушивающих устройств

Под организационными мероприятиями понимаются мероприятия, в которых не требуется применение технических средств.

К мероприятиям, несущим организационный и режимный характер, относят:

- привлечение сторонних специалистов из организаций, имеющих лицензии на проведение данных работ;

- аттестация помещений, в которых расположены ТСПИ и помещений, в которых циркулирует информация имеющая определенную секретность;

- использование на объекте сертифицированных ТСПИ и ВТСС;

- установление контролируемой зоны вокруг объекта;

- при проведении строительных, монтажных и реконструкционных работ прибегать к услугам организаций, имеющих соответствующие лицензии в области защиты информации;

- контроль и ограниченный доступ к объектам ТСПИ и помещениям;

- отключение на период закрытых мероприятий технических средств, имеющих элементы, выполняющие роль электроакустических преобразователей, от линий связи и т.д.

Техническое мероприятие - это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений.

Технические мероприятия направлены на закрытие каналов утечки информации путем ослабления уровня информационных сигналов или уменьшением отношения сигнал/шум в местах возможного размещения портативных средств разведки или их датчиков до величин, обеспечивающих невозможность выделения информационного сигнала средством разведки, и проводятся с использованием активных и пассивных средств. Технические мероприятия осуществляются для ликвидации возможной утечки, за счет уменьшения мощности сигналов, создаваемых ТСПИ

К техническим мероприятиям с использованием пассивных средств относятся: контроль и ограничение доступа на объекты ТСПИ и в выделенные помещения, локализация излучений и развязывание информационных сигналов. Установка специальных диэлектрических вставок в оплетки кабелей электропитания, труб систем отопления, водоснабжения и канализации, имеющих выход за пределы контролируемой зоны. Установка в цепях электропитания ТСПИ, а также в линиях осветительной и розеточной сетей выделенных помещений помехоподавляющих фильтров типа ФП.

К техническим мероприятиям с использованием активных средств относятся:

- пространственное зашумление. Пространственное электромагнитное зашумление с использованием генераторов шума или создание прицельных помех (при обнаружении и определении частоты излучения закладного устройства или побочных электромагнитных излучений ТСПИ) с использованием средств создания прицельных помех;

- линейное зашумление. Линейное зашумление линий электропитания. Линейное зашумление посторонних проводников и соединительных линий ВТСС, имеющих выход за пределы контролируемой зоны;

- уничтожение закладных устройств. Уничтожение закладных устройств, подключенных к линии, с использованием специальных генераторов импульсов (выжигателей «жучков»).

Выявление портативных электронных устройств перехвата информации (закладных устройств) осуществляется проведением специальных обследований, а также специальных проверок объектов ТСПИ и выделенных помещений.

Специальная проверка проводится с использованием технических средств. При этом осуществляется:

- выявление закладных устройств с использованием пассивных средств;

- выявление закладных устройств с использованием активных средств.

На рисунке 7 изображены возможные технические каналы утечки информации.

Рисунок 7 - ТКУИ

2. Проектная часть

2.1 Методы защиты информации от несанкционированного съема в помещении

Одним из источников важной информации организации являются совещания, на которых представляются материалы по имеющимся результатам и планам работ. Присутствие большого количества людей и большие размеры помещений ставят перед этими организациями проблему сохранения коммерческой тайны.

Защита информации при проведении совещаний с участием представителей сторонних организаций имеет актуальное значение и основными задачами по обеспечению информационной безопасности является выявление и своевременная локализация возможных технических каналов утечки акустической информации.

несанкционированный оптический информационный

Рисунок 8 - Возможные каналы утечки информации из помещения: 1 - радиоизлучение монитора; 2 - микрофонный эффект, закладки в телефонном аппарате; 3 - стекло вибрация, видеонаблюдение; 4 - вибрация стен, перекрытий, систем отопления, вентиляции, дверей; 5 - анализ передаваемых данных (электромагнитное излучение, использование атак по сети, паразитное радиоизлучение, вирусы); 6 - прослушивание телефонного и факс-модемного трафика; 7 - жучки, направленные микрофоны; 8 - доступ посторонних лиц; 9 - человеческий фактор

К другим способам получения необходимых данных можно отнести:

- анализ открытых источников информации;

- анализ деятельности предприятий, его продукции, отходов и так далее;

- шантаж;

- слежка.

Первые семь перечисленных пунктов возможно устранить техническими средствами защиты, как показано на рисунке 8. Восьмой - нормативными актами, а девятый, самый сложный, почти не возможно.

Радиоизлучение монитора. Перехват изображения монитора достаточно распространенный способ хищения информации. Это становится возможным в связи с его паразитным излучением, прием которого возможен до 50 м. Основной защитой можно считать экранирование помещения, металлический корпус ПЭВМ, а также использования устройств маскирующих побочное электромагнитное излучение, например, генератор радиошума ГШ-1000, который зашумляет диапазон частот от 0,1 до 1000 МГц.

Микрофонный эффект. Акустические колебания микрофона или обмоток звонка возникают при положенной трубке и могут быть сняты с телефонного кабеля, например, на АТС.

Видеонаблюдение за помещением. Это возможно как через окно, так и с помощью вмонтированных камер в предметы помещения, либо в вещи постороннего человека, попавшего в закрытое помещение. Основная защита - это использование жалюзей на окнах, и досмотр посторонних лиц.

Считывание вибрации стекла. Такое удаленное действие возможно с помощью лазера. Основная защита: использование двойных стекл, а также воздержание от ведения секретных переговоров там, где это не безопасно.

Аналогичный способ утечки можно реализовать путем считывания вибрации стен, дверей, перекрытий. Защита от этого - установка устройств виброакустической защиты.

Доступ в помещения, где ведется работа с конфиденциальной или секретной информацией, должен быть ограничен, там должны находиться лишь люди, работающие с закрытой информацией, обслуживающей спецаппаратуру, которые должны пройти соответствующую проверку. В случае необходимости, в выделенное для этих целей помещение, могут попасть посторонние, например, уборщицы, слесари, электрики и другие, но дежурный по помещению не должен оставлять их одних.

Для регламентации доступа в спецпомещения, а также правила работы, охраны, составляются документы, в соответствии с которыми и осуществляется защита конфиденциальной или секретной информации.

После подготовки помещения для работы в нем с закрытой информацией его необходимо сертифицировать в надлежащих органах на право работы с необходимым грифом.

Следование правилам по работе с закрытой информацией, разработанным на предприятии также позволит предотвратить утечку информации, для которых используется анализ открытых источников информации и деятельности предприятия.

• Защита акустического канала.
• В этой работе одной из важных задач является защита акустического канала передачи информации, ведь без этого не могут проводиться полноценные переговоры.
• В акустических каналах утечки информации распространяются сигналы, переносимые механическими колебаниями упругой среды. К названию акустический обычно добавляют определения, указывающие и на характер сигнала (например, речевой сигнал), и на среду распространения этого сигнала. Различают воздушные акустические каналы, по которым распространяются колебаниями воздушной среды. В вибрационных каналах акустическая информация переносится механическими колебаниями твердых сред, прежде всего строительных конструкций (панелей стен и перекрытий, труб водоснабжения, отопления, вентиляционных коробов и др.). Жидкие среды могут образовывать гидроакустические каналы утечки информации. Подобно параметрическим электромагнитным каналам, существуют и параметрические акустические каналы, в которых акустические сигналы управляют параметрами некоторых других физических полей.
• Приемниками сигналов в воздушных акустических каналах служат разнообразные микрофоны: миниатюрные, высокочувствительные, направленные. Микрофоны объединяются со звукозаписывающими устройствами (диктофонами) или специальными передатчиками для трансляции сигналов по радиоканалам, оптическим и инфракрасным каналам, силовой сети электропитания другим магистралям. Автономные устройства, конструктивно объединяющие миниатюрные микрофоны с передатчиками, служат для перехвата речевой информации и называются закладными устройствами для перехвата речевой информации, или просто акустическими закладками.
• Вибрационный канал также может использоваться для перехвата информации при помощи закладных устройств. Перехваченные виброакустические сигналы усиливаются и транслируются при помощи радиоэлектронных устройств. Поэтому закладные устройства для перехвата виброакустических сигналов называются радиостетоскопами.
• Параметрический оптико-электронный канал утечки акустической информации образуется при модуляции лазерного луча, отраженного оконными стеклами. Эти стекла вибрируют в такт колебаниям, создающимися речевыми сигналами в помещениях за стеклами. При вибрации стекол изменяется электрическая длина трассы, по которой распространяется отраженный стеклом оптический луч лазера, и, соответственно, изменяется фаза сигнала в точке приема. Демодуляция принятого оптического сигнала позволяет выделять акустическую информацию.
• Генератор акустического шума.
• Акустические генераторы шума используются для зашумления акустического диапазона в помещениях и в линиях связи, а также для оценки акустических свойств помещений. Акустические подавители в качестве сигнала помехи используют энергию акустической волны. При этом физически эффект подавления сводится к воздействию сигнала помехи (акустический «белый» шум) на чувствительный элемент (мембрану) микрофона.
• Под «шумом» в узком смысле этого слова часто понимают так называемый белый шум, характеризующийся тем, что его амплитудный спектр распределен по нормальному закону, а спектральная плотность мощности постоянна для всех частот.
• В более широком смысле под шумом, по ассоциации с акустикой. понимают помехи, представляющие собой смесь случайных и кратковременных периодических процессов.
• Например, генератор акустического шума «ЛГШ-301» предназначен для защиты речевой информации от перехвата по прямому акустическому, виброакустическому и оптикоакустическому каналам. «ЛГШ-301» используется, в условиях замкнутого пространства с питанием от сети переменного тока 220 В. Данная модель защищает пространство объемом до 50 мі. При работе в помещении большего объема, необходимо устанавливать несколько генераторов.
• Принцип действия предлагаемой модели основан на генерации «белого шума» в акустическом диапазоне частот и, как следствие, повышении отношения акустическая помеха/речевой сигнал.
• Монтировать генераторы рекомендуется в непосредственной близости к местам возможного размещения системы перехвата, таким как: оконные и дверные проемы, стены, потолки и полы помещений, вентиляционные каналы и воздуховоды, трубы систем центрального отопления и водоснабжения, стекла и тонкие перегородки.
• Генератор «ЛГШ-301», показанный на рисунке 9, может быть настроен на оптимальный для определенных условий уровень громкости и при последующем включении не требует дополнительной подстройки. Это особенно удобно в случае, если предполагается монтировать несколько генераторов для работы на разных, строго выверенных уровнях громкости акустического шума.
• Рисунок 9 - Генератор акустического шума «ЛГШ-301»

Электромагнитные шумогенераторы в качестве физического поля, воздействующего на СТС (специальные технические средства), используют энергию электромагнитной волны. Излучаемый сигнал помехи наводит на внутренних элементах СТС паразитные сигналы, которые приводят в полную или частичную негодность запись на диктофоне. При правильной расстановке в пространстве источника полезного сигнала, шумогенератора и СТС, электромагнитные подавители являются довольно эффективными средствами борьбы со средствами негласного съема информации. Примеры ЭМ подавителей: «Аллигатор-150», изображен на рисунке 10.

Рисунок 10 - Электромагнитный подавитель «Аллигатор-150»

Принцип работы Стационарный подавитель «Аллигатор-150» работает по принципу излучения радиочастотных помех для блокировки мобильного Интернета 3G/4G и сотовой связи GSM 900/1800 МГц. Дальность распространения помех может составлять до 150 метров, расстояние может меняться в зависимости от мощности и близости базовой станции сотового оператора. Технические характеристики Подавителя Частоты подавления: - 4G Mobile (МТС/ТЕЛЕ2) - 790-850 МГц; - 4G LTE1 - 2620-2690 МГц; - 3G - 2110-2170 МГц; - GSM 900 - 925-960 МГц; - GSM 1800 - 1805-1880 МГц. Расстояние подавления с направленными антеннами: до 150 метров; Питание: 5В, 12А через адаптер от сети 220В; Габариты подавителя: 200х165х60 мм; Масса подавителя: 1,8 кг. Антенны Рабочий диапазон частот: 800-2500 МГц; Входное сопротивление: 50 Ом; Длина антенного кабеля: 1 метр; КСВ в рабочем диапазоне частот: <1.5; Усиление: 7 dBi; Допустимая мощность: 50 Ватт; Поляризация: вертикальная; Разъем: N-Female; Размеры: 240х230х65 мм; Вес:1.5 кг.

2.2 Организация мер по технической защите информации

Анализ защищенности объекта от утечки информации по техническим каналам.

1) Исходное условие: Визуально оптические каналы утечки возникают там, где возможен визуальный просмотр документов и экранов мониторов (как внутри помещений, так и снаружи с расстояния прямой видимости - 50 м).

Утечка по визуально-оптическому каналу информации в защищаемом кабинете директора невозможна, так как визуальный просмотр помещения, монитора и находящихся в помещении лиц невозможен, из-за установленных жалюзи, предотвращающих утечку информации по визуально-оптическому каналу, так предотвращается просмотр с расстояния прямой видимости - 50 метров. Мониторы расположены обратной стороной к окну. Применяются средства маскирования, имитации и другие с целью защиты и введения в заблуждение злоумышленника. Используются средства пассивной и активной защиты источника от неконтролируемого распространения отражательного или излученного света и других излучений.

2) Исходное условие: Акустические каналы утечки возникают там, где возможно прослушивание, в том числе без использования технических средств - микрофонов, разговоров содержащих защищаемую информацию через воздушную среду (возле щелей входных дверей - из коридора или приемной, возле окон помещений расположенных на первых этажах, возле вентиляционных отверстий из соседних помещений, возле сквозных отверстий сетевых розеток и щелей в ограждающих конструкциях - в стенах, полу и потолке помещения и т.п.).

Утечка по виброакустическим каналам маловероятна, так как в строительстве здания использованы специальные строительные материалы, уменьшающие отражение вибрационных волн, создаваемых речью. В кабинете не имеются щели для возможного прослушивания, а между двумя металлическими пластинами входной двери имеется воздушное пространство, снижающее количество перехватываемых вибрационных волн.

3) Исходные условия: Прямые (функциональные) каналы утечки с линий связи возникают там, где:

- существует возможность бесконтрольного подключения к кабелю связи (кабель проложен в легкодоступном для посторонних лиц месте, помещения, станционные стойки телефонных станций, кабельные шкафы не запираются на ключ и не ставятся под сигнализацию и т.п.);

- для передачи информации используется канал радиосвязи.

Утечка по прямым (функциональным) каналам маловероятна, так как исключена возможность бесконтрольного подключения к кабелю связи, кабель защищен оболочкой и проведен в местах, недоступных для посторонних лиц, станционные стойки телефонных станций, кабельные шкафы и помещения запираются на ключ и ставятся на сигнализацию, во избежание несанкционированного доступа.

4) Исходные условия: Каналы утечки по побочным электромагнитным излучениям возникают от любого ОТСС, в случае если КЗ относительно ОТСС составляет менее 20 м, для ОТСС без заземления экрана, и не менее 10 м для ОТСС с заземленным экраном.

Источниками утечки информации по каналу ПЭМИН являются технические средства (ТС), технические средства обработки и передачи информации (ТСОПИ). Возникновение угрозы ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн (информационная система персональных данных)) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПД техническими средствами ИСПДн.

Меры технической защиты.

Под утечкой информации понимается несанкционированный процесс переноса информации от источника к конкуренту. Физический путь переноса информации от ее источника к несанкционированному получателю называется каналом утечки. Канал, в котором осуществляется несанкционированный перенос информации с использованием технических средств, называется техническим каналом утечки информации (ТКУИ).

Одним из способов защиты информации является инженерно-техническая защита информации. Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.



Рисунок 11 - Схема расположения объекта информатизации и радиуса контролируемой зоны

Подобные мероприятия технической защиты проводятся с применением как пассивных, так и активных защитных приемов и средств. К пассивным техническим способам защиты относят:

- установку систем ограничения и контроля доступа на объектах размещения ТСПИ и в выделенных помещениях;

- экранирование ТСПИ и соединительных линий средств;

- заземление ТСПИ и экранов соединительных линий приборов;

- звукоизоляция выделенных помещений;

- встраивание в ВТСС, обладающие «микрофонным» эффектом и имеющие выход за пределы контролируемой зоны, специальных фильтров;

- ввод автономных и стабилизированных источников, а также устройств гарантированного питания в цепи электроснабжения ТСПИ;

- монтаж в цепях электропитания ТСПИ, а также в электросетях выделенных помещений помехоподавляющих фильтров.

Активное воздействие на каналы утечки осуществляют путем реализации:

- пространственного зашумления, создаваемого генераторами электромагнитного шума;

- прицельных помех, генерируемых на рабочих частотах радиоканалов подслушивающих устройств специальными передатчиками;

- акустических и вибрационных помех, генерируемых приборами виброакустической защиты;

- подавления диктофонов устройствами направленного высокочастотного радиоизлучения;

- зашумления электросетей, посторонних проводников и соединительных линий ВТСС, имеющих выход за пределы контролируемой зоны;

- режимов теплового разрушения электронных устройств.

В результате использования средств для проведения мероприятий по обеспечению инженерно-технической защиты информации организация существенно уменьшит вероятность реализации угроз, что, несомненно, способствует сохранению материального и интеллектуального капитала предприятия.

Для предотвращения утечки информации по визуальным каналам, окна в помещениях закрыты жалюзи. Защита информации по акустическим и виброакустическим каналам обеспечивается за счет специальных строительных материалов, использовавшихся при строительстве здания предприятия. Также в кабинете установлены средства ультразвукового подавления диктофонов и прочих звукозаписывающих устройств. Для защиты от утечки информации по каналам ПЭМИН используются средства схожие по своему назначению с отечественными устройствами, такими как: «Соната-Р1» и «Соната РК2». Схема защищенного визуально-оптического канала утечки информации изображена на рисунке 12.



Рисунок 12 - Схема защищенного визуально-оптического канала утечки информации

Проведя организацию мероприятий физической защиты источников информации, были проверены имеющиеся средства обеспечения физической безопасности территории предприятия. При входе на территорию предприятия можно увидеть высокий забор, ограничивающий движение транспортных средств при въезде или выезде с территории предприятия. По периметру установлены камеры видеонаблюдения, записывающие изображение и транслирующие все происходящее на территории на мониторы в кабинет охраны. На парадном входе в предприятие имеется камера скрытого наблюдения за всеми лицами, входящими в здание. После преодоления турникета и осмотра охранником, пройдя по коридорам здания можно заметить множество камер видеонаблюдения. Все двери являются железными, предотвращая возможное проникновение со взломом, также каждая дверь имеет замок с индивидуальным ключом.



Рисунок 13 - Виброакустический канала утечки информации с установленным устройством виброакустической защиты

Подведя итог имеющихся на предприятии систем и методов защиты информации по техническим каналам утечки информации можно сказать следующее: рекомендуется использовать дополнительные вибрационные генераторы шума, для создания помехи, превышающую акустический сигнал полезной информации, типа отечественного прибора «Соната-АВ-1М». Для защиты от прослушивания с использованием направленного микрофона рекомендуется использовать комплекс виброакустической защиты «БАРОН», этот комплекс предназначен для защиты объектов информатизации 1 категории и противодействия техническим средствам перехвата речевой информации (стетоскопы, направленные и лазерные микрофоны, выносные микрофоны) по виброакустическим каналам. Данный комплекс имеет четыре канала формирования помех, к каждому из которых могут подключаться вибропреобразователи пьезоэлектрического или электромагнитного типа, а также акустические системы, обеспечивающие преобразование электрического сигнала, формируемого прибором, в механические колебания в ограждающих конструкциях защищаемого помещения, а также в акустические колебания воздуха, что делает его универсальным и в какой-то степени не имеющим подобных отечественных аналогов.



Рисунок 14 - Схема контролируемой зоны канала утечки ПЭМИН

Для защиты от утечки по каналу ПЭМИН необходимо применять средства активной защиты (САЗ), они применяются когда основные технические средства и системы (ОТСС) выходят за пределы контролируемой зоны (КЗ). Для обеспечения безопасности необходимо применить системы пространственного зашумления, для создания маскирующих помех. На предприятии рекомендуется использовать устройство «Соната-Р3.1» предназначенное для защиты информации от утечки за счет побочных электромагнитных излучений и наводок на линии электропитания и заземления, линии проводной связи и токоведущие проводные коммуникации. «Соната Р3.1» обеспечивает защиту путем излучения в окружающее пространство электромагнитное поля шума, а также инжекции шумовых токов в линии сети электропитания и заземления. Сертификат ФСТЭК России № 3539 от 26 марта 2016 года удостоверяет, что средство активной защиты информации от утечки за счет побочных электромагнитных излучений и наводок «Соната-Р3.1», производимое ООО «Анна» в соответствии с техническими условиями ЮДИН.665820.015 ТУ является средством активной защиты информации от утечки за счет побочных электромагнитных излучений и наводок типа «А» и «Б», соответствует требованиям документа «Требования к средствам активной защиты информации от утечки за счет побочных электромагнитных излучений и наводок» (ФСТЭК России, 2014) - по 2 классу защиты, может применяться в выделенных помещениях до 2 категории включительно. Устройство показано на рисунке 15, пульт управления к нему на рисунке 16.

Рисунок 15 - Средство активной защиты информации «Соната-Р3.1»

Рисунок 16 - Пульт управления «Соната-ДУ 4.2» (индивидуальный)

Основные особенности «Соната-Р3.1»:

ѕ комбинированный характер защиты (электромагнитное излучение + шумовое напряжения в линии электропитания и заземления);

ѕ наличие регулятора интегрального уровня формируемых электромагнитного поля шума и шумовых напряжений;

ѕ возможность, в случае необходимости, дополнительного повышения уровня излучаемого электромагнитного поля шума в диапазоне частот 0.01…100 МГц за счет применения опционально поставляемой дополнительной антенны;

ѕ встроенная система контроля интегрального уровня излучения со световой индикацией и звуковой сигнализацией;

ѕ возможность удаленного управления изделием как в случае автономного использования (непосредственно Пультом-ДУ4.2), так и в случае использования в составе комплекса ТСЗИ;

ѕ наличие счетчика наработки в режиме «Излучение».

Использование данного устройства обеспечивает выполнение следующих целей:

- Защита от утечки по каналам ПЭМИН за счет побочных электромагнитных излучений, обеспечивая защиту ТС и ТСОПИ;

- защита от утечки за счет наводки информативного сигнала в цепях электропитания и заземления, путем создания в цепях электропитания и заземления напряжения маскирующего шума.

Защита от утечки за счет наводки информативного сигнала в токопроводящие цепи, выходящие за пределы контролируемой зоны, путем создания с помощью направленных ответвителей в токопроводящих цепях, выходящих за пределы контролируемой зоны, напряжения маскирующего шума.

На рисунке 17 предоставлено изображение защищаемого помещения со всеми установленными техническими средствами защиты информации.



Рисунок 17 Защищаемое помещение со средствами ЗИ

2.3 Защита в оптическом (зрительном) канале

Важной и неотъемлемой частью нашей жизни являются окружающие нас люди, которые не всегда вступают в контакт с нами с благородными целями. Во всех источниках по защите конфиденциальной информации не упоминается про защиту от зрительного восприятия видимых движений речевых органов. Важнейший способ общения глухих - чтение речи с губ и лица говорящего, может быть использован для чтения с губ важной информации и передача ее заинтересованным лицам.

Единственным методом защиты от съема информации по зрительному восприятию - это не допустить возможности увидеть движение губ при разговоре. Если только вы не находитесь в закрытом помещении, но велика вероятность присутствия скрытой камеры. Просмотрев запись, нарушители смогут легко понять суть вашего разговора.

Для предотвращения утечки информации по визуальным каналам, окна в помещениях закрыты жалюзи.

2.4 Разработка системы комплексной защиты информации

Информационная безопасность конфиденциальных переговоров является составной частью безопасности бизнеса и призвана обеспечить «информационный» суверенитет компании и способствовать успешному развитию. Все эти вопросы также актуальны на уровне политических переговоров, где отстаиваются интересы стран миллионов людей. Это связано с обеспечением защищенности системы формирования информационных ресурсов и созданием необходимого уровня защищенности применяемых технологий, использующего, в том числе современные системы и средства.

Решение этих задач возможно только на основе создания системы комплексной защиты информации и правильной организации ее функционирования. Именно такая система способна реализовать непрерывность процесса защиты информации, создать эффективные механизмы защиты и обеспечить их надежную работу.

Основными целями защиты информации на объектах защиты являются правильно спрогнозированные технические и организационные мероприятия по защите информации. В соответствии с этим процесс защиты информации должен обеспечить поддержание ее целостности и конфиденциальности. При этом под целостностью информации следует понимать ее неизменность (физическую целостность) и непротиворечивость (логическую целостность) в процессе хранения и обработки. Конфиденциальность информации предполагает ее доступность только для тех лиц, которые имеют на это соответствующие полномочия.

Из анализа угроз безопасности информации, целей и задач ее защиты следует, что достичь максимального (требуемого) уровня защищенности можно только за счет комплексного использования существующих методов и средств защиты. Комплексность является одним из принципов, которые должны быть положены в основу разработки как, концепции защиты информации, так и конкретных систем защиты.

Организационные мероприятия.

Организация охраны -- составная часть общей системы защиты конфиденциальной информации предприятия. Вопросы обеспечения надежной охраны территории предприятия и его объектов неразрывно связаны с задачами организации пропускного режима на предприятии. Силы и средства, участвующие в решении этих задач, являются составными элементами системы охраны предприятия.

Главные цели охраны предприятия следующие:
предотвращение попыток проникновения посторонних лиц (злоумышленников) на территорию (объекты) предприятия; своевременное обнаружение и задержание лиц, противоправно проникших (пытающихся проникнуть) на охраняемую территорию; обеспечение сохранности находящихся на охраняемой территории носителей конфиденциальной информации и материальных средств и исключение, таким образом, нанесения ущерба предприятию; предупреждение происшествий на охраняемом объекте и ликвидация их последствий.

Проведены следующие организационные мероприятия:

- на ЭВМ сотрудников установлены защитные пароли, для ограничения доступа к ним;

- контроль за работой сотрудников и всей системы в целом;

- периодический анализ состояния и оценка эффективности мер и применяемых средств защиты;

- учет и контроль за оборотом физических носителей в отделах, имеющих доступ к конфиденциальной информации.

Заключение

Информационная безопасность конфиденциальных переговоров является составной частью безопасности бизнеса и призвана обеспечить «информационный» суверенитет компании и способствовать её успешному развитию. Решение этих задач возможно только на основе создания системы комплексной защиты информации и правильной организации ее функционирования. Именно такая система способна реализовать непрерывность процесса контроля информации, создать эффективные механизмы защиты и обеспечить их надежную работу. Основными целями защиты информации на объектах являются правильно спрогнозированные технические и организационные мероприятия по сохранности информации от несанкционированного съема. В соответствии с этим процесс защиты информации должен обеспечить поддержание ее целостности и конфиденциальности. При этом под целостностью информации следует понимать ее неизменность (физическую целостность) и непротиворечивость (логическую целостность) в процессе хранения и обработки. Конфиденциальность информации предполагает ее доступность только для тех лиц, которые имеют на это соответствующие полномочия. Из анализа угроз безопасности информации, целей и задач ее защиты следует, что достичь требуемого уровня защищенности можно только за счет комплексного использования существующих методов и средств защиты.

• Целью дипломной работы является разработка системы для комплексной защиты информации от несанкционированного съема в помещении. Для достижения данной цели были решены следующие задачи: анализ каналов несанкционированного съёма информации и средств защиты; исследование методов защиты информации от несанкционированного съема в помещении; разработка системы комплексной защиты информации.

Литература

1. Герасименко В.А. Основы защиты информации: учебное пособие / В.А. Герасименко. - М.: Академия, 2006. - 540с.

2. Батурин Ю.А. Компьютерная преступность и компьютерная безопасность: учебное пособие / Ю.А. Батурин. -- М.: Радио и связь, 1994. -- 160с.