Квалификационная работа

(ООО          )







КВАЛИФИКАЦИОННАЯ РАБОТА
по программе профессиональной переподготовки
«Техническая защита информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну»

ЗАЩИТА ЗАЩИЩАЕМОГО ПОМЕЩЕНИЯ ОТ УТЕЧЕК
ПО ТЕХНИЧЕСКИМ КАНАЛАМ

Казак Елена Александровна










МОСКВА 2022 г.


СОДЕРЖАНИЕ


ВВЕДЕНИЕ 3
ОСНОВНАЯ ЧАСТЬ 6
1. ОБЩИЕ ПОЛОЖЕНИЯ 6
2. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ ЗАЩИТЫ ЗАЩИЩАЕМОГО ПОМЕЩЕНИЯ ОТ УТЕЧЕК ПО ТЕХНИЧЕСКИМ КАНАЛАМ 10
3. РЕКОМЕНДАЦИИ ПО ВНЕДРЕНИЮ РЕЗУЛЬТАТОВ 18
4. ЗАКЛЮЧЕНИЕ 20
ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ, СОКРАЩЕНИЯ 21
СПИСОК ЛИТЕРАТУРЫ 27
ПРИЛОЖЕНИЕ 28
Инструкция администратору безопасности защищенного помещения 28

;
ВВЕДЕНИЕ

Во все периоды существования человеческого социума и при наличии материальных вещей, которые человеческие существа относили к собственным или чужим, информация, описывающая характеристики таких материальных вещей, была предметом охраны или кражи, перехвата. А также она могла стать объектом уничтожения, чтобы нанести ущерб обладателю собственности через утрату информации о ней.
Информация, в существующих условия жизни мыслящих существ, может быть категорирована по следующим способам ее ими хранения, обработки, передачи и других процедур:
1. образная память живых существ, частично выражаемая, передаваемая ими в виде звуков, движений, знаков;
2. фиксация на материальных носителях различными способами: двумерные изображения (живопись), объемные изображения (скульптура), знаково-шифро-кодовые записи (текст, буквенный, числовой, символьный, формулы), а в случае животного и растительного мира – это места дислокации, способы обустройства сред обитания, внешний вид, повадки, стиль поведения и т.д.;
3. фиксация на материальных носителях с привнесёнными на них полевыми структурами (носители, эксплуатирующие природные явления, такие как, электричество, магнетизм, излучения и волны, различных категорий);
4. передача, нахождение в состоянии, нематериальной передачи, путём различного вида излучающих, волновых и т.д. структур.
Первые два вида для человеческого социума имеют значительно более давнюю (по официальной версии) историю применения, чем 3 и 4.
До появления товарно-денежного обмена потребность в защите и сокрытии любого вида информации не существовала, поскольку информация была соотнесена с живым существом в части, которая свойственна именно ему, характеризовала именно его, и другим живым существам не была нужна.
После унификации (деиндивидуализации) живых существ, называющих себя «человек» (дальше речь будет идти о них), причиной чего было появление товарно-денежного обмена, что подразумевало: относительно одинаковые предметы обихода, пищу, места обитания и т.д. – возникла конкуренция, и, как следствие, присваивание чужого. Это также было усилено системной структурой подчинения – путём разделения предметов собственности на «роскошь – не роскошь». Что и породило то, что сейчас называют «сакральностью», то есть необходимость сокрыть доступную информацию от других, дезавуировать её до состояния, что её трудно найти и/или распознать.
И сейчас – мы имеем то, что имеем.
Ни одна коммерческая структура не может эффективно, с её точки зрения, функционировать без обязательной системы безопасности информации. А параметром этой так называемой «эффективности» стала прибыль, то есть навар между ценой, по которой что-либо приобретено с понесёнными при этом сопутствующими расходами – и – завышенной ценой перепродажи этого ранее приобретенного. Если смотреть на это непредвзято, то это крайне нечестно, и само по себе является воровством. Но. Имеем то, что имеем.
Итак. Если любая из общественных структур хочет иметь прибыль в своей деятельности, расширяться и захватывать большие пространства влияния, она обязана защищать информацию о своей деятельности, в целях – не позволять получить её лицам, которым не дан прямой разрешённый (санкционированный) доступ к такой информации и которые не закрепили своих обязательств обращаться с ней установленным ее «обладателем» образом.
Современный человек становится информационно всё менее материален сам, подменяя свою собственную телесную память на искусственные предметы и не менее искусственные генерируемые им с помощью неживых приборов «энергетические» поля различных характеристик. То есть из перечисленных выше категорий начинают преобладать виды 3 и 4, ещё имеется вид 2. Вид же 1 практически дезавуирован и лишён доверия. Но тем не менее, прямое под(про)слушивание (телесное, без записи) в деле информационной безопасности должно быть учтено.

В данной работе мы рассмотрим организационные меры, принципы и подходы к защите защищаемого помещения от утечек информации по – техническим каналам. То есть в данной ситуации рассматриваются в большей степени категории 3 и 4 из перечисленных выше, а 2 и 1 – учитываются.
В отличие от выделенных помещений, то есть предназначенных для обсуждения, обработки в них сведений, относящихся к государственной тайне (защищаемой в интересах стабильности и безопасности общности, которая называется «государство»), защищаемые помещения, предназначенные для обсуждения в них сведений конфиденциального характера, не составляющих государственную тайну, имеют более лояльные требования к их безопасности.
Скажем так, нормальный рациональный баланс необходимости и достаточности защиты обуславливает при этом, что объёмы информации и её удельный вес значимости – ощутимо ниже у отдельной условной организации, которую мы рассмотрим в этой работе, назовём её ООО «РиК» (расшифровка в разделе «сокращения»), и – у государства Российская Федерация с численностью населения свыше 140 миллионов человек, и имеют огромное различие в уровне, весе и объёме рисков, которые современный человеческий социум привносит сам же в свой же информационный обмен.
В части же обоснования актуальности защиты своей информации какой-либо отдельной «конторой» можно привести в качестве примера недавние утечки достаточно критичных детальных персональных данных пользователей сайтов заказа и доставки пищевых продуктов и других товаров потребления. Да и взломы государственного сайта госуслуг (Минцифры) во время так называемой «пандемии», тоже весьма наглядны. Ведь несанкционированный доступ к этим базам и сайтам мог произойти и из-за недостаточности защиты рабочих мест их операторов по любому из выше перечисленных 1-4 категорий.
Публичное разглашение достоверно идентифицирующих персональных данных в современной действительности может нести угрозы субъектам этих ПДн – от финансовых, до потери жизни – в зависимости от того, в чьи руки и с какими умыслами попадут. А ПДн сейчас в электронном виде обрабатываются, смею предполагать, в 99,(9)% организаций. Следовательно, защита информации становится уже обязательной частью обеспечения безопасности самих субъектов (физической охраны персонала).
Целью данной квалификационной работы установим: описание системы защиты гипотетического защищаемого помещения в ООО «РиК», предназначенного для обработки, обсуждения в нём информации конфиденциального характера, (системы) обеспечивающей необходимый и достаточный уровень защиты этой информации.

ОСНОВНАЯ ЧАСТЬ

1. ОБЩИЕ ПОЛОЖЕНИЯ

Любая из структур безопасности любой организации, в том числе государственной, основана на равноправных «трёх китах»:
информационная безопасность
объектовая и субъектная безопасность
экономическая безопасность
А в свете происходящей перекачки информационной дееспособности человеческого социума в материальные предметы и нематериальные поля (цифровизация), информационная безопасность в этих процессах практически выходит на первый уровень. Причина этого в том, что сама информация, из-за унификации предметов социума, как таковых, становится зачастую «дороже» («важнее») тех предметов, и даже субъектов, которые она описывает, либо на которых хранится. Ну то есть описываемый объект/субъект может быть физически недоступен злоумышленнику (находиться в безопасности) лишь пока не разглашена информация о нём.
При организации защищаемого помещения, по факту, должны быть задействованы все три вида направлений безопасности.
В настоящей работе я буду рассматривать вариант состояния, когда в организации уже категорирована информация по уровню её конфиденциальности и проведена классификация АИТС и АРМ по необходимому им уровню защиты. После чего.
Первично необходимо оценить уровень стоимости для организации тех информационных потоков, которые планируется обрабатывать, обсуждать конкретно в рассматриваемом помещении, для чего нужно ранжировать доступ в него лиц, как следствие, определить уровни их доступа, как экономически мотивированного, так и физического, который они имеют к различным базам данных организации, в иные помещения организации, к контакту с другими работниками организации.
То есть, иными словами, кто из них что способен «ляпнуть нечаянно» в разговоре, ведущемся в защищаемом помещении, пытаться, или нет, пронести туда какие-либо потенциально опасные устройства, либо что-то вынести оттуда, что выносить запрещено. Если невозможно это оградить организационными мерами и воспитанием коллектива, понятным контролем за его (коллектива) психо-эмоциональным и социо-экономическим состоянием, в таком случае помещение правильнее защитить по уровню, как выделенное, но затраты при этом на непосредственно техническую защиту информации в помещении могут кратно возрасти.
Общеизвестно, что защиту помещения можно и нужно делать эффективной на этапе его строительства и обеспечивать требуемую непроницаемость для визуального доступа, прослушивания звука и электромагнитных составляющих ОТСС, снятия различного рода наводок с них на ВТСС – путём достаточной звуко и радио (электро) изоляции несущих и ограждающих конструкций, монтажа дверей и окон с необходимым уровнем оптико, звуко и электро-магнитной изоляции. Если этого не сделать, а организовывать защиту уже существующего помещения, то скорее всего в нём придётся делать ремонт и закупать, зачастую, довольно дорогостоящие технические средства защиты информации от утечек.
При организации защиты защищаемого помещения все три подсистемы структуры безопасности организации, перечисленные выше, должны работать слаженно в контактном режиме. Кроме того, должно быть обеспечено чёткое взаимодействие с кадровым и ИТ подразделениями организации.

Далее в целях перехода непосредственно к описанию системы защиты помещения дадим несколько определений категорий ТКУИ:
; по источнику возникновения: естественные, которыми нарушитель может воспользоваться, и искусственные – им созданные;
; по виду доступа к средствам АИТС, ОТСС: косвенные (без доступа) и прямые (путем доступа);
; по физическим свойствам среды НСД:
акустические волны:
акустические – непосредственно доступ к звуку, содержащему КИ,
акустоэлектрические – снятие электрического сигнала, образовавшегося из преобразованных в него акустических колебаний,
виброакустические – снятие сигнала, возникающего от воздействия звука на строительные конструкции и инженерно-технические коммуникации,
электромагнитное излучение (фотоны):
оптические – получение доступа к визуальной информации,
электромагнитное излучение (радиодиапазон) и электрический ток:
электромагнитные – снятие информативных сигналов, наведённых от ОТСС на ВТСС (индуктивных наводок),
радиоэлектронные (параметрические) – снятие радиоизлучения, электрических сигналов от внедренных в ТС и ЗП специальных «закладных устройств», модулированных внешним сигналом,
физические вещи и предметы не полевой структуры:
материально-вещественные – информация на бумаге или других физических носителях.

При организации защиты информации в защищаемом помещении необходимый уровень его защищённости определяется исходя из его расположения относительно границ контролируемой зоны организации. При этом надо учитывать, что далеко не весь персонал организации может быть лоялен ей (организации), следовательно, нужно учитывать инсайдерские риски. В частности, помещение может быть глубоко внутри контролируемой зоны и в значительной степени далеко от её границ, но при этом граничить через тонкие перегородки с другими помещениями, где уровень допуска персонала к информации значительно ниже того уровня, который планируется обрабатывать и обсуждать в ЗП.

Для анализа возможных ТКУИ ЗП должны быть исследованы:
; поэтажный план здания, где находится ЗП, содержащий информацию о всех помещениях, в т.ч. о характеристиках: стен, перекрытий, отделки, дверей, окон;
; схема инженерных коммуникаций здания, в т.ч. система вентиляции, отопления, водоснабжения, короба их прокладки;
; схема системы заземления ЗП (здания), содержащая данные о расположении заземлителя;
; схема системы электропитания здания, содержащая данные о расположении щитов, разводных коробок, разделительного трансформатора (подстанции);
; схема развязки телефонных линий связи, содержащая данные о расположении телефонных аппаратов и распределительных коробок;
; схема систем охранной и пожарной сигнализации, содержащая данные о расположении и типах датчиков и распределительных коробок.

В процессе обследования на выявление ТКУИ:
; Анализируются помещения, смежные с ЗП и находящиеся за пределами КЗ. Устанавливаются их правообладание и наличие режима доступа. Проверяется возможность доступа извне к окнам ЗП. Проводится оценка возможности утечки акустической информации из ЗП по виброакустическим каналам.
; Путем визуального осмотра, а также проведением фотосъемки, из окон ЗП осматриваются окна находящихся рядом зданий, места возможной парковки автомобилей, иные места, находящиеся в прямой видимости. Выполняется оценка вероятности и качества ведения с данных мест прослушивания и видеозаписи посредством направленных микрофонов, лазерных акустических систем, средств визуального наблюдения и съемки.
; Устанавливается место расположения трансформаторной подстанции здания, электрощитовой, щитов распределения. Измеряется протяжённость линий электропитания от ЗП – до предполагаемых мест установки средств перехвата (распредщитов, помещений и т.д.) за пределами КЗ.
; Проверяются инженерные коммуникации и проходящие через них неподконтрольные организации проводники, выходящие за пределы КЗ, измеряется их протяжённость от ЗП до мест вероятного подключения средств несанкционированного съёма информации.
; Определяется местоположение заземлителя, к которому подключен контур заземления ЗП. Определяются подключенные к нему иные помещения, находящиеся за пределами КЗ.
; С применением специальных технических средств производится оценка возможности перехвата информации, обрабатываемой ОТСС, по радиоэлектронным каналам.


2. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ ЗАЩИТЫ ЗАЩИЩАЕМОГО ПОМЕЩЕНИЯ ОТ УТЕЧЕК ПО ТЕХНИЧЕСКИМ КАНАЛАМ

Перейдём непосредственно к нашему гипотетическому помещению и его защите.
Отмечу сразу, что на текущий момент информация о местонахождении «ЗП» в здании той организации, откуда мною взят этот пример, уже много лет не соответствует описанному в данной работе, «ЗП» (помещение руководителя подразделения безопасности) перенесено в другое место, по организационным причинам. Схемы – условны по размерам, и по составу того, что на них отображено (реальная информация обезличена).
Также обозначу сразу, что употребление мною в тексте терминов в формате «установлены устройства», «организованы мероприятия» и т.д. следует рассматривать, как именно мой данный проект и мои к нему предложения. В реальности, помещение, взятое в качестве примера, не было подвергнуто анализу, как защищаемое, и, по большей части, не имело той системы защиты, которая будет мною описана далее в данной работе.

При принятии решений о защите помещения для проведения конфиденциальных совещаний и размещения рабочего места руководителя подразделения безопасности руководствовались минимизацией затрат, как на строительно-ремонтные работы, так и на применение спецсредств.
На схемах ниже показано:
рис. 1 – расположение помещения, выбранного для использования, как защищённое, относительно границ КЗ;
рис. 2 – расположение ЗП относительно этажности (уровень грунта/земли).





















Здание ООО «РиК» – отремонтированный в современный офисный вид старый особняк. Застройка вокруг городская, окна соседних зданий расположены (относительно) достаточно близко со всех сторон (на схеме рис. 1 показаны часть зданий, и только со стороны ЗП).


Неконтролируемая парковка автомобилей производится со стороны   автодороги. Но при этом и со стороны дворовых территорий также в достаточной близости находятся другие дворовые территории, неподконтрольные рассматриваемой здесь организации (на схеме показаны частично). На них имеется регулярное присутствие посторонних лиц и автомобилей.

В организации установлен круглосуточный контроль физического доступа по всему периметру КЗ, имеется собственная служба объектовой безопасности, установлено видеонаблюдение по периметру здания и во всех общих помещениях организации (кроме санитарных), производятся обходы территории, проверка мест, близких к критичной инфраструктуре, спецсредствами с целью выявления вероятных следящих устройств. Сама структура помещений здания организации на тот момент не позволяла разместить ЗП в других местах, с лучшей непроницаемостью и контролем, чем на выбранном месте (далее будет дополнительно описано, почему).

Важно отметить, что в ООО «РиК» организована проверка кандидатов при приёме на работу в части экономической безопасности организации. Со стороны же подразделения объектовой и субъектной безопасности – проводятся регулярные инструктажи и обучения персонала, мотивировочные занятия по соблюдению установленного объектового режима. Установлен порядок проверок его соблюдения, и порядок взыскания к работникам за его нарушение. О чём работники ознакомлены под роспись.
По всему зданию доступ персонала в помещения, на этажи – разграничен СКУД, права доступа распределены в соответствии с полномочиями персонала, доступ круглосуточно контролируется.

Вернёмся к структуре ЗП. Далее – схема самого помещения – см. рис. 3.
Помещение (ЗП) расположено на полуподземном цокольном этаже 4-х этажного отдельно стоящего здания, находящегося в собственности ООО «РиК». Состоит из: собственно, помещения для работы руководителя и проведения конфиденциальных совещаний, и «буферной» комнаты «отдыха», расположенной с одной его стороны, как показано на схеме. Вход в которую возможен только через помещение для совещаний.
С «правой» (исходя из расположения схемы) стороны – выход из помещения организован в коридор, в котором присутствие другого персонала, кроме сотрудников подразделения безопасности, вызванных к себе руководителем, практически исключено.

За стеной «сверху» помещения (на схеме рис. 3), за «комнатой отдыха», находятся несущие конструкции здания и запертые помещения, в которых нет постоянного присутствия персонала, а допуск осуществляется по резолюции руководителя безопасности.
«Снизу» (на схеме рис. 3) – на достаточной протяжённости нет помещений, только конструкции, разной плотности.
Стена «слева» (на схеме рис. 3) с окнами, расположенными под потолком ЗП, совпадает с границей КЗ на этом участке, и выходит на узкий тротуар и неоживлённую неширокую проезжую часть. Сами окна по размеру – уменьшенного формата, расположены прямо над поверхностью тротуара. Остальная часть стены ниже границы грунта – имеет стык – с самим грунтом, никаких конструкций и помещений за ней нет. Ниже пола помещения также нет иных помещений, там фундамент и грунт.

Следовательно, возможность снятия виброакустического сигнала со стен и пола помещения можем признать невозможным (угроза неактуальна) – на основании формата расположения ЗП, и принятых организационных мер. В окна ЗП при реконструкции здания (ремонте) были сразу установлены двойные рамы достаточного уровня шумоподавления.
Получение оптической информации через указанные окна существенно затруднено их размером, и расположением по высоте относительно интерьера помещения (под потолком), а также относительно дороги и другой внешней инфраструктуры: в прямом направлении на эти окна находится цоколь без окон здания напротив, либо автомобили на уровне высоты колёс, либо прохожие уровня «до колена». Угол зрения, чтобы получить визуальную информацию (обзор) изнутри помещения должен быть при этом очень близок к стене здания и находится, условно, «зависшим над тротуаром», что невозможно в связи с организованным объектовым контролем. Дополнительно к этому – на время проведения конфиденциальных совещаний с использованием визуальной информации, а также при работе с такой информацией на рабочем месте руководителя, окна могут быть оптически блокированы светонепроницаемыми шторами, установленными на них изнутри.

Также сразу исключу риск несанкционированного получения документированной информации (на материально-вещественных носителях). Уборка помещения производится только при нахождении в его кабинете самого руководителя. Документы, содержащие конфиденциальную информацию, до их отправки в мусорный контейнер, уничтожаются с использованием шредера (уровень – крошка). В кабинете установлен сейф руководителя (на схеме не показан).

Теперь перейдём к тем параметрам помещения, характеристики которых могут нести риски безопасности конфиденциальной обсуждаемой и обрабатываемой в ЗП информации.

Помещения в этом сегменте здания, но выше ЗП, на этажах с 1 по 2, арендованы у ООО «РиК» дочерним обществом той же «материнской» организации, дочерним обществом которой является и ООО «РиК», но обеспечивающим принципиально другое направление деятельности их «материнской» организации (корпорации). Следовательно, вариант инсайдерских утечек в целях конкуренции арендатора и арендодателя исключён. Остаётся риск злонамеренных, извне платных/заказанных, действий. ООО «РиК» и его арендатор практически не пересекаются по вопросам производства, СКУД во всём здании принадлежит и подконтрольна ООО «РиК», права физического доступа в СКУД для персонала арендатора устанавливаются по заявкам его руководства подразделением безопасности ООО «РиК» (арендодателем). Также вся инженерно-техническая, электроснабжающая начинка здания тоже принадлежит и подконтрольна ООО «РиК», как собственнику.

Распределительные щиты электроснабжения находятся внутри КЗ, в здании, подконтрольно ООО «РиК».
Система заземление здания находится внутри КЗ.
Водопроводная и система канализации в помещении отсутствуют.
В КЗ имеются трубы системы отопления, общей для всего здания.
Во всех помещениях здания, в том числе в арендованных (которые над КЗ), установлены фальш-полы, в которых выполнена разводка сети передачи данных, и проложены кабели электроснабжения для СВТ, оргтехники, настольного освещения, бытовых приборов.
В подвесных потолках проведено центральное освещение помещений (выключатели на стенах) и вентиляция, общая для всего здания (но по соответствующим коробам), установлены потолочные кондиционеры, управляемые с ручных пультов управления. Также на потолок смонтирована система пожарного оповещения и пожаротушения, управляющие сегменты которой также находятся внутри КЗ.

С учётом протяжённости кабелей системы электроснабжения, идущих от ЗП до распределительных щитов и трансформаторов, даже на них приходящий информативный сигнал от ПЭМИН было решено считать незначительным.
Остаются риски злонамеренных действий инсайдеров из числа персонала как самого ООО «РиК», так и его арендатора, с которым ЗП граничит через потолок-пол. Разница сред: навесной потолок – перекрытия – фальш-пол – даёт частичный эффект гашения звука, хотя при этом пустОты в пространстве пола и потолка могут создавать аналогичный микрофонному (усиливающий) эффект. С целью предотвращения этого, пространство в ЗП между навесным потолком с находящейся над ним «начинкой» в виде проводов и устройств и – перекрытиями – звукоизолировано с использованием шумоподавляющего негорючего материала. Что снижает распространение рисковых шумов не только в направлении «вверх к соседям», но и в продольном направлении по системе коробов вентиляции и другим технологическим отверстиям, ведущим на выход из ЗП, вероятно, и в другие помещения здания.

Исходя из описанного, остаётся опасный риск злонамеренного снятия наведённого на электронные устройства ОТСС и ВТСС акустоэлектрического сигнала в пределах КЗ, но за пределами ЗП, а также риск снятия сигнала, наведенного с ОТСС на ВТСС. И – риск инсайдерских действий («человеческий фактор») тех, кто будет допущен в ЗП, как к участию в совещаниях, так и при обслуживании СВТ (ИТ). Отмечу к этому: видеонаблюдение в кабинете организовано, но включается самим руководителем, не выведено в общую базу видеонаблюдения здания, и не доступно ИТ-персоналу, обслуживается выделенным сотрудником подразделения безопасности (администратор безопасности ЗП), по мере необходимости такого обслуживания. Им же, либо под его контролем, производится обслуживание ОТСС и ВТСС, находящихся в ЗП. Инструкция администратору безопасности ЗП приведена в приложении 1.

В целях предотвращения утечек информации по акустоэлектрическому каналу на выходе из помещения на кабели электроснабжения установлены помехоподавляющие электрические фильтры (ФСПП).
В целях экранирования системы кабелей сети передачи данных на выходе их из ЗП на них установлены специальные телекоммуникационные фильтры.
Для исключения снятия информации, обсуждаемой в ЗП, через систему отопления, на границе помещения на трубы установлены трубопроводные фильтры (ФТ).
Для исключения риска несанкционированной аудио и видео записи с использованием носимых электронных устройств персонал проинформирован об обязательном отключении таких устройств при обсуждении информации конфиденциального характера и об ответственности за это. В ЗП установлены блокиратор выходящего радиосигнала и подавитель микрофонов.
Защита информации конфиденциального характера, обрабатываемая на СВТ руководителя, при её передаче по каналам связи внутри организации, осуществляется в соответствии с «Политикой информационной безопасности» организации, и в данной работе не рассматривается.
В свете описанного выше комплекса организационных мер (в том числе и проводимых периодически проверок на выявление закладных устройств), а также с учётом уровня значимости (стоимости) информации организации ООО «РиК», вероятность кражи её с использованием параметрических устройств съёма будем считать незначительной и учитывать не будем.

3. РЕКОМЕНДАЦИИ ПО ВНЕДРЕНИЮ РЕЗУЛЬТАТОВ

Всё, выше описанное в данной работе, должно быть зафиксировано комплектом документов на ЗП (в данной работе не будет приведён). При обслуживании системы безопасности ЗП все лица обязаны руководствоваться указанным комплектом документов.
 Комплектом документов должна быть описана детально структура защиты, с местами её установки, монтажа, указанием моделей применяемого оборудования (с учётом обеспечиваемого ими уровня защиты). Комплект документов создаётся исключительно для внутреннего использования ограниченным кругом лиц, допущенных, либо опосредованно причастных, к обслуживанию помещения, размещённых в нём ОТСС, ВТСС. Комплект документов отнесён к документам, содержащим информацию, защищаемую коммерческой тайной.
ООО «РиК» не сочло целесообразным привлечение к поверке ЗП сторонних специализированных организаций, как и аттестацию помещения (обработка и обсуждение информации, такой как ПДн, либо служебной или иной тайн, защита которых однозначно регламентируется в законодательном порядке, в помещении не производится).

Администратор безопасности ЗП, с привлечением по его рекомендации/решению квалифицированных допущенных работников подразделения безопасности либо иных подразделений ООО «РиК», составляет график (утверждаемый руководителем Подразделения безопасности) и выполняет согласно данного графика проверки ЗП на неснижение уровня его защиты.

Все технические средства, которые заменяются в ЗП по каким-либо причинам на другие, могут быть переданы из ЗП только после гарантированного стирания любой информации, которая на них была записана в процессе эксплуатации в ЗП (если у них есть элементы, выполняющие такую запись). Новые ТС должны быть приняты комиссионно (руководитель комиссии – администратор безопасности ЗП), после проверки на отсутствие в них любого вида закладных устройств, НДВ и тому подобного.
Зоны, граничащие с ЗП, должны быть проверены, и допуск в них должен соответствовать описанному в настоящей работе (и, как следствие, в комплекте документов на ЗП). В случае изменения порядка допуска сторонних (для ЗП) лиц в такие зоны, что снизит уровень безопасности ЗП, а также в случае переноса ЗП в другие помещения, обработка КИ в ЗП полностью прекращается, комплект документов аннулируется (при изменении помещения), либо корректируется (при увеличении инцидентов доступа, с учётом требуемого усиления системы защиты информации соответствующими ТСЗИ). До принятия нового порядка безопасности ЗП, обработка, обсуждение в нём КИ – запрещены.
Комплект документов на ЗП, как первоначальный, так и после его изменения/замены, подготавливается Подразделением безопасности и утверждается руководителем ООО «РиК».

4. ЗАКЛЮЧЕНИЕ

Данной работой я описала принципиальный порядок организации ЗП в ООО «РиК» с минимизацией затрат на применяемые технические и иные средства защиты. Предложенная структура защиты показывает, что зачастую за счёт (относительно) недорогих средств, и, особенно, организационных мер, и правильного выбора помещения, можно обеспечить хороший уровень защиты информации в нём.

Мой многолетний опыт показывает, что «человеческий фактор» может свести «на нет» любые системы безопасности, даже самые дорогие. Систему могут не включить, отключить, неправильно настроить, и т.д. и т.п. И он же, опыт, говорит о том, что никто из персонала никакой из организации не воспринимает всерьёз меры защиты информации, как таковые вообще. Более того, они их не воспринимают всерьёз даже в случае критичной потери данных. Административный ресурс, разве что, может играть какую-то роль. Но для этого руководитель всей организации должен разбираться более-менее широко в вопросах информационной безопасности, а это бывает крайне редко. Почему так происходит? Предлагаю вернуться к началу работы и перечитать введение. Если кратко, не повторяя вышесказанное, а другими словами: «сакральность» информации не природна, а антиприродна. И живые существа чувствуют это на уровне врожденных интуиции и самосохранения. И не хотят следовать этим «правилам безопасности», чувствуя их навязанными ограничениями для себя.
Поэтому представителям человеческого социума, поставившим самих себя массово в эти рамки, зачастую, нужны простые «приземлённые» схемы защиты, которые им будет понятны. И не дОроги по затратам на их приобретение.
Надеюсь, что в этой работе у меня получилось соблюсти баланс между этим социальным самопринуждением – и – тем самым здравым смыслом.

;
ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ, СОКРАЩЕНИЯ

СПИСОК СОКРАЩЕНИЙ

АИТС _ автоматизированная информационно-телекоммуникационная система
АРМ _ автоматизированное рабочее место
ВТСС _ вспомогательные технические средства и системы (не предназначенные для обработки КИ)
Подразделение безопасности _ Подразделение, обеспечивающее безопасность
ООО «РиК»
ЗП _ защищаемое помещение
ИБ _ информационная безопасность
ИТ _ информационные технологии
КЗ _ контролируемая зона
КИ _ конфиденциальная информация (информация конфиденциального характера)
НДВ _ не декларированные возможности
НСД _ несанкционированный доступ
ООО «РиК»,
организация _ Общество с ограниченной ответственностью
«Рога и копыта»
ОТСС _ основные технические средства и системы (обрабатывающие КИ)
ПДн _ персональные данные
ПК _ персональный компьютер (рабочая станция пользователя)
ПО _ программное обеспечение
ПЭМИН _ побочные электромагнитные излучения и наводки
СВТ _ средства вычислительной техники
СЗИ _ средства защиты информации
СОИБ _ система обеспечения информационной безопасности
СТЗИ _ средства технической защиты информации
СПД _ сеть передачи данных
ТКУИ _ технический канал утечки информации (источник информации – среда распространения – приёмник информации)
ТС технические средства (для целей настоящей работы: ОТСС+ВТСС ЗП)


ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Термин _ Определение

Активы _ все, что имеет ценность для организации
Анализ рисков _ систематический процесс определения величины рисков
Авторизация (уполномоченный доступ) _ разграничение доступа в соответствии с совокупностью правил, регламентирующих права доступа субъектов доступа к объектам доступа
Аутентификация _ проверка принадлежности субъекту доступа предъявляемого им идентификатора, подтверждение подлинности
Автоматизированная информационно-телекоммуникацион-ная система _ совокупность программного обеспечения и технических (вычислительных и коммуникационных) средств и технологий, используемых для накопления, хранения, обработки и передачи информации, с целью решения бизнес-задач структурных подразделений организации
Доступность _ свойство информационных активов находится в состоянии готовности и возможности использования по запросу уполномоченного логического субъекта
Идентификация _ действия по предоставлению доступа субъектам путём сравнения предъявляемого идентификатора с перечнем присвоенных идентификаторов
Информационные активы _ информация (сведения), обладателем которых организация является на законном основании, имеющие ценность для организации и подлежащие защите
Информационная безопасность _ состояние защищенности информации, при котором обеспечиваются такие ее свойства, как конфиденциальность, целостность и доступность
Информационная безопасность АИТС _ состояние защищенности информационных активов АИТС, при котором обеспечивается приемлемый риск нанесения ущерба в условиях существования определенных угроз
Информация _ сведения (сообщения, данные) независимо от формы их представления
Инцидент информационной безопасности _ любое нежелательное или непредвиденное событие, существенно связанное с информационными активами, которое может нарушить деятельность (бизнес-операции) или информационную безопасность организации
Защищаемые помещения _ помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.). Для целей данной работы: это помещение, в котором обсуждается и обрабатывается информация конфиденциального характера
Категорирование и определение критичности актива _ процесс оценки актива, включая перечисление содержимого актива и определение уровня его важности для организации
Коммерческая тайна _ режим конфиденциальности информации, позволяющий организации при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, услуг или получить иную коммерческую выгоду
Контролируемая зона _ пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных, технических и иных материальных средств
Зона 1 – пространство вокруг ОТСС, на границе и за пределами которого уровень наведенного от ОТСС сигнала в ВТСС, а также в посторонних проводах и линиях передачи информации, имеющих выход за пределы КЗ, не превышает нормированного значения
Зона 2 – пространство вокруг ОТСС, на границе и за пределами которого напряженность электромагнитного поля информативного сигнала не превышает нормированного значения
Зона 2 больше зоны 1. В идеальном случае, размеры контролируемой зоны должны быть больше, чем зона 2
Конфиденциальность _ свойство информации быть недоступной и закрытой для неуполномоченного доступа субъекта либо процесса
Несанкционирован-ный (неуполномочен-ный) доступ _ доступ к информационному активу неуполномоченного субъекта либо процесса, нарушающий установленные СОИБ ограничения доступа
Оценка риска
_ процесс, объединяющий процедуры идентификации, анализа и оценивания риска, направленный на определение, является ли значение риска допустимым либо неприемлемым установленным в организации критериям значимости рисков
Персональные данные _ любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Принятие риска _ решение о признании угрозы, потенциальной уязвимости организации к этой угрозе, уровня потенциального ущерба от ее реализации, незначительными, а также об отсутствии необходимости делать что-либо
Риск _ потенциальная опасность нанесения ущерба организации с использованием уязвимостей актива, которая определяется как сочетание вероятности наступления события и размера его последствий
Сеть передачи данных (информационно-телекоммуникацион-ная сеть) _ объединение информационных систем, компьютерного, телекоммуникационного и офисного оборудования структурных (в том числе обособленных) подразделений организации, посредством их подключения с использованием физических и логических устройств, каналов связи
Система обеспечения информационной безопасности _ комплекс правовых, организационных, программных и технических мер, направленных на сохранение или приобретение свойств безопасности информационных активов организации и защиту их от угроз ИБ
Средства защиты информации _ нормативно-методические, программные, технические, организационно-штатные, физические средства, реализующие совокупность функций по обеспечению информационной безопасности
Угроза _ потенциальная либо реальная причина инцидента ИБ, который может нанести ущерб информационным активам, АИТС, СОИБ, организации
Уязвимость _ слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами
Целостность _ свойство сохранения правильности и полноты активов, (защищенность их от модификации, подмены, уничтожения в результате НСД)


;
СПИСОК ЛИТЕРАТУРЫ

1. Гостехкомиссия при Президенте РФ. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К): Москва, решение Коллегии Гостехкомиссии России №7.2/02.03.2001 г.
2. Федеральный закон. О коммерческой тайне: 29.07.2004 №98-ФЗ.
3. Федеральный закон. О персональных данных: 27.07.2006 №152-ФЗ.
4. ФСТЭК РФ. Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну: 29.04.2021 №77
5. ЦИБИТ. Программа обучения. Техническая защита информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (Группа 32 ТЗКИ 504)
6. НОУ ИНТУИТ. Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну. (Лекция 6) Технические каналы утечки информации.
;
ПРИЛОЖЕНИЕ
ИНСТРУКЦИЯ АДМИНИСТРАТОРУ БЕЗОПАСНОСТИ ЗАЩИЩЕННОГО ПОМЕЩЕНИЯ
Инструкция администратору безопасности
защищенного помещения

1. Общие положения

1. 1. Настоящая инструкция определяет основные обязанности, права и ответственность администратора безопасности защищенного помещения ООО «РиК» (далее – администратор безопасности).
1. 2. Обязанности администратора безопасности исполняются штатным работником Подразделения безопасности ООО «РиК».
1. 3. Обязанности администратора безопасности не могут быть делегированы. Администратор безопасности подчиняется напрямую руководителю Подразделения безопасности.
1. 4. В производственной деятельности администратор безопасности руководствуется требованиями государственного законодательства, «Политикой информационной безопасности», комплектом документов на ЗП, и другими нормативными документами ООО «РиК».
1. 5. Администратор безопасности должен знать и применять в производственной деятельности нормативные и методические документы по вопросам, связанным с обеспечением технической защиты информации, методы, способы и порядки работ с использованием технических средств защиты информации.
1. 6. Администратор безопасности обладает правом административного доступа ко всем элементам, обеспечивающим защиту ЗП, а также ко всем ОТСС (основных технических средств и систем) и ВТСС (вспомогательных технических средств и систем), эксплуатируемым в ЗП, в части, необходимой для их обслуживания.
1. 7. Требования администратора безопасности, связанные с выполнением его должностных обязанностей, и – в части, касающейся оборудования и состояния ЗП и зоны вокруг него – обязательны для исполнения подразделениями ИТ (информационных технологий) и АО (административного обеспечения здания) ООО «РиК».

2. Права администратора безопасности

2. 1. Требовать от специалистов ИТ и АО, и иных причастных подразделений организации, выполнения инструкций, порядков по обеспечению защиты помещения – в части установленного документацией на ЗП.
2. 2. Проводить технические проверки по выявлению угроз конфиденциальности, целостности и доступности информации, обсуждаемой и обрабатываемой в ЗП.
2. 3. Вносить руководству ООО «РиК» предложения по совершенствованию защиты помещения.

3. Обязанности администратора безопасности

3. 1. Контролировать выполнения требований по технической защите ЗП согласно документации на него.
3. 2. Обеспечивать обслуживание ОТСС и ВТСС (вместе далее – технические средства, ТС), эксплуатируемых в ЗП, в пределах своих полномочий и квалификации. В случае необходимости обслуживания ТС ЗП с привлечением иного персонала ООО «РиК», либо персонала сторонних обслуживающих организаций, обеспечить передачу им указанных ТС, исключив, путем гарантированного стирания, передачу с ними конфиденциальной информации (КИ). Обеспечивать проверки ТС ЗП, возвращенных после обслуживания их сторонними лицами, на предмет отсутствия в них закладных устройств и вредоносных вмешательств.
3. 3. Регулярно выполнять проверки оборудования и структуры помещения ЗП на предмет отсутствия внедрённых вероятными злоумышленниками средств слежения.
3. 4. Согласованно с руководителем Подразделения безопаснсоти, вести и контролировать актуальность списков лиц, допущенных в ЗП.
3. 5. Протоколировать и оформлять документально факты выявленных нарушений и/или инцидентов безопасности ЗП. Контролировать устранение их, как своими силами, так и с привлечением иных причастных и обслуживающих лиц.
3. 6. Осуществлять администрирование и постоянное сопровождение функционирования технических средств защиты ЗП.
3. 7. При выявлении инцидентов, могущих привести к утечке КИ, блокировать работу с КИ в ЗП до устранения такой угрозы.
3. 8. Принимать меры к минимизации и устранению деструктивных последствий произошедших инцидентов безопасности. Разрабатывать меры для предотвращения их в дальнейшем.
3. 9. По итогам анализа угроз безопасности, уязвимостей ЗП готовить руководству ООО «РиК» предложения по совершенствованию мер защиты информации.
3. 10. Обеспечивать и реализовывать процессы создания, учета, хранения и использования резервных и архивных копий массивов данных и электронных документов.
3. 11. Проводить инструктирующие и ознакомительные занятия лиц, имеющих доступ в ЗП, по вопросам информационной безопасности и требованиям к защите помещения.





4. Ответственность

4. 1. Администратор безопасности несет ответственность за поддержание необходимого и достаточного уровня обеспечения информационной безопасности ЗП, в объемах предоставленных ему работодателем ресурсов.
4. 2. Администратор безопасности при осуществлении взаимодействия с руководителями и работниками ООО «РиК» несет ответственность за формирование и поддержание здорового, осознанного и заботливого их отношения к значимости и обязательности соблюдения требований информационной безопасности.
4. 3. Администратор безопасности несет ответственность за все действия, произведенные с использованием предоставленных ему административных прав, либо за бездействие, повлекшие собой нарушение установленных требований к защите информации, обсуждаемой и обрабатываемой в ЗП.
4. 4. Администратор безопасности несет ответственность за разглашение информации об исполняемых мероприятиях по защите информации, других сведений ограниченного распространения, ставших ему известными в связи с исполнением должностных обязанностей.
4. 5. Администратор безопасности несет ответственность в соответствии с действующим законодательством Российской Федерации и нормативными документами ООО «РиК».

_________________________________________

Авторское Свидетельство о публикации получено и зафиксировано за указанным номером 19.06.2022 в 12:24 МСК