Развитие современных систем электроники позволяет осуществлять съем информации с использованием различных физических каналов. Чувствительность приборов позволяет определять информативные сигналы небольшой интенсивности и передавать их за пределы контролируемой зоны. В случае, когда защищаемая информация имеет высокий уровень конфиденциальности, относится к государственной тайне или имеет коммерческую значимость, необходимо принятие мер по защите от утечек с использованием специальных средств, а также использовать средства выявления установленных устройств съёма информации.
Целью данной работы является разработка система аттестации помещений в части организации защиты от утечек данных.
Задачи работы:
- анализ теоретических аспектов проектирования систем инженерно-технической защиты информации;
- анализ теоретических аспектов защиты от утечек через побочные электромагнитные излучения и наводки;
- анализ физической природы возникновения угроз утечек по электрическому каналу, определение устройств – носителей информации при ее перехвате по электрическому каналу;
- определение путей противодействия утечкам информации по электрическому каналу;
- разработка технического задания на проектирование системы защиты;
- проведение обзора технических решений, используемых для решения задач обеспечения защиты от утечек данных по электрическому каналу в.
Объект исследования: инженерно-техническая система защиты информации ООО «Кондор».
Предмет исследования: технические каналы утечки данных.
1. Алгоритм аттестации системы безопасности информационных систем
Необходимость обработки персональных данных (ПДн) в информационных системах предполагает необходимость принятия мер по обеспечению требований к защищенности. Нормативное регулирование вопросов защиты персональных данных обеспечивается законодательными актами:
152 – ФЗ от 27.07.2006 «О персональных данных»;
Приказом ФСТЭК № 17 от 11.02.2013.
Персональные данные включают информацию, которая может однозначно идентифицировать их объект. При этом существуют как общедоступные персональные данные (например, ФИО, профессия), обеспечения мер по защите которых не требуется и данные, утечка которых могут привести к негативным последствиям для их субъекта (например, реквизиты документации, данные о состоянии здоровья, политических убеждениях и др.) и которые являются объектом защиты.
Одним из обязательных условий допуска к обработке ПДн является проведение аттестации информационных систем. По итогам аттестации (на основании типа обрабатываемых данных и их объема) системе присваивается класс защищённости, в соответствии с которым определяются требования к программной, организационной и инженерно-технической защите информации.
Обязательность прохождения аттестации ИСПДн определяется типом и объёмом обрабатываемых данных. В целях организации мониторинга исполнением работ по аттестации объектов информатизации утвержденным Порядком аттестации на органы ФСТЭК России возложены обязанности по ведению единого реестра аттестованных объектов информатизации, а также представление компаниями, в которых проводилась аттестация, документов, содержащих данные по результатам проверок каждого объекта информатизации в территориальные органы ФСТЭК России. При выявлении по результатам проверок фактов несоответствия аттестованного объекта информатизации требованиям о защите информации действие аттестата соответствия проверяемой компании приостанавливается до момента приведения в соответствие системы защиты информации в соответствии с установленными требованиями.
Аттестация ИСПДн обязательна в условиях государственных информационных систем, что предполагает необходимость обеспечения исполнения требований по безопасности в рамках Требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными Приказом ФСТЭК России №17 от 11.02.2013 г.
Проведение аттестации ИСПДн в добровольном порядке может быть инициировано руководством компаний в целях [3]:
проведения аудита состояния защищенности информационной системы и корректности принимаемых мер, использования программных и аппаратных средств защиты;
профилактики инцидентов, связанных с утечками ПДн, что может нанести компании как финансовый, так и репутационный ущерб.
Проведение аттестации защищенности объектов ИСПДн, по результатам которой проводится выдача протоколов, сертификатов, заключений и аттестатов, является актуальным также для компаний различных сфер деятельности и форм собственности при [3]:
окончании сроков действия выданных ранее аттестатов;
при изменениях в классе защищенности. архитектуре системы защиты информации, изменениях в ИТ-инфраструктуре;
при выявлении признаков утечек ПДн и отсутствии результатов поиска их источников силами специалистов компании;
при значительных изменениях в организационной структуре компании.
Для аттестации объектов ИСПДн привлекаются сертифицированные специалисты, имеющие подтверждённые компетенции в области проведения аудита защиты информации.
Этапами аттестации являются [5]:
Анализ архитектуры ИСПДн, по итогам которого составляется акт об обследовании, составляется модель угроз в соответствии с утвержденной методичкой ФСТЭК, проводится разработка технического задания на создание системы защиты ИСПДн;
Разработка пакета нормативной документации (приведение в соответствие существующих документов), регламентирующей вопросы соблюдения требований защиты ИСПДн;
аудит защищенности ИСПДн с составлением технического паспорта ИСПДн, протокола оценивания и заключения по результатам анализа. Если все требования ФЗ-152 выполнены, то компании выдается аттестат о соответствии требованиям защищенности, срок действия которого составляет 3 года, в противном случае – составляется протокол выявленных нарушений с установлением срока устранения недостатков и повторного проведения проверок.
В качестве объектов проведения проверок в рамках аттестации выступают:
аппаратное обеспечение (в рамках которого осуществляется диагностика компьютерного, сетевого оборудования, кабельной системы);
программное обеспечение, в котором осуществляется обработка ПДн (анализируются журналы работы, с помощью специального ПО проводится поиск уязвимостей, анализируется ролевая модель доступа, работа систем аутентификации);
работа с сетевыми ресурсами (возможности утечек данных через каналы открытого Интернета);
работа систем информационной безопасности (защиты от вредоносного ПО, системы резервного копирования, администрирования, разграничения доступа).
Алгоритм проведения оценивания защищенности ИСПДн в рамках аттестации включает следующие операции [5]:
- Курсовая работа
- Дипломная работа
- Контрольная работа
- Реферат
- Отчет по практике
- Магистерская работа
- Статья
- Эссе
- Научно-исследовательская работа
- Доклад
- Глава диплома
- Ответы на билеты
- Презентация
- Дипломная работа MBA
- ВКР
- Компьютерный набор текста
- Речь к диплому
- Тезисный план
- Чертёж
- Диаграммы, таблицы
- ВАК
- Перевод
- Бизнес план
- Научная статья
- Рецензия
- Лабораторная работа
- Решение задач
- Диссертация
- Доработка заказа клиента
- Аспирантский реферат
- Монография
