Якісна недостатність Розбиття шибки вікна Підслуховування розмов. Читання залишених без догляду віддрукованих на принтері документів - - -
Кількісна недостатність Незакрите прибиральни-цею вікно може привести до крадіжок устаткування в лабораторії, комп’ютерів тощо Крадіжка колб з лабораторії дослідження полімерних сполук - - -
Злочинні дії Розбиття шибки вікна Підслуховування розмов, в тому числі телефонних - - Пожежа, повінь, землетрус, шквал, вибух Вологість, запиленість, зміни температури
Побічні явища Незакрите прибиральни-цею вікно може привести до крадіжок устаткування , комп’ютерів Поломка замка стає причиною проникнення зловмисника в приміщен-ня - - Пожежа, повінь, землетрус, шквал, вибух Вологість, запиленість, зміни температури
Тип ДФ Електрик
Джерела ДФ
Вікна Двері Стіни Стеля Зовнішнє середовище
Якісна недостатність - Підслухову-вання розмов. Пошкодження проводки,що приведе до збоїв систем живлення, систем забезпечення нормальних умов роботи апаратури та персоналу Пошкодження проводки,що приведе до збоїв систем живлення -
Кількісна недостатність - Крадіжка колб з лабораторії, де досліджують полімери чи іншого устаткування - - -
Відмова елементів АС - . Пошкодження проводки,що приведе до відмов систем живлення, Використання закладних та дистанційних підслуховуючих пристроїв. Пошкодження проводки,що приведе до відмов систем живлення, Використання закладних та дистанційних підслуховую-чих пристроїв -
Збій елементів АС -
Збої систем живлення, систем забезпечення нормальних умов роботи апаратури та персоналу Пошкодження проводки,що приведе до збоїв систем живлення, Використання закладних та дистанційних підслуховую-чих пристроїв -
Злочинні дії Розбиття шибки вікна Підслуховування розмов, в тому числі телефон-них Відключення або вивід з ладу підсистем забезпечення функціонування обчислювальних систем(електроживлен-ня) Підключен-ня до каналів зв’язку через штатні або спеціально розроблені апаратні засоби Пожежа, повінь, землетрус, шквал, вибух Вологість, запиленість, зміни температури
Побічні явища Одержання інформації по вібро-акустичному каналу з використанням лазерних пристроїв зняття інформації - Одержання інформації по каналу паразитних наведень в мережах живлення Одержання інформації по каналу паразитних наведень в мережах живлення Пожежа, повінь, землетрус, шквал, вибух Вологість, запиленість, зміни температури
Тип ДФ Сантехнік
Джерела ДФ
Вікна Двері Стіни Стеля Зовнішнє середовище
Якісна недостатність - - - - -
Кількісна недостатність - Крадіжка колб з лабораторії - - -
Злочинні дії Відключення або вивід з ладу підсистем забезпечення функціонування обчислювальних систем (електроживлення, охолодження та вентиляції, ліній зв’язку тощо). Фізичне зруйнування системи (внаслідок вибуху, підпалення та.ін.) - - Пожежа, повінь, землетрус, шквал, вибух Вологість, запиленість, зміни температури
Побічні явища - - Одержання інформації по каналу паразитних наведень в мережах живлення - Пожежа, повінь, землетрус, шквал, вибух Вологість, запиленість, зміни температури
Злочинні дії - - - - Пожежа, повінь, землетрус, шквал, вибух Вологість, запиленість, зміни температури
Побічні явища Одержання інформації по вібро-акустичному каналу з використанням лазерних пристроїв зняття інформації - Одержання інфор-мації по каналу паразит-них наведень в мережах живлення - Пожежа, повінь, землетрус, шквал, вибух Вологість, запиленість, зміни температури
Злочинні дії - - - - Пожежа, повінь, землетрус, шквал, вибух Вологість, запиленість, зміни температури
Побічні явища Одержання інформації по вібро-акустичному каналу з використанням лазерних пристроїв зняття інформації - Одержання інфор-мації по каналу паразит-них наведень в мережах живлення Одержання інфор-мації по каналу паразит-них наведень в мережах живлення Пожежа, повінь, землетрус, шквал, вибух Вологість, запиленість, зміни температури
Злочинні дії Фізичне зруйнування системи (внаслідок вибуху, підпалення та.ін.) Фізичне зруйнування системи (внаслідок вибуху, підпалення та.ін.) - - Пожежа, повінь, землетрус, шквал, вибух Вологість, запиленість, зміни температури
Побічні явища Одержання інформації по вібро-акустичному каналу з використанням лазерних пристроїв зняття інформації - Одержання інфор-мації по каналу паразит-них наведень в мережах живлення Одержання інфор-мації по каналу паразит-них наведень в мережах живлення Пожежа, повінь, землетрус, шквал, вибух Вологість, запиленість, зміни температури
Обов'язки персоналу. Основна і єдина функція прибиральниці прибирати в приміщеннях. Вона має доступ у всі приміщення. В функції електрика входить забезпечення справного функціонування мережі електропостачання; усунення неполадок, помилок та збоїв мережі електропостачання; обслуговування трансформаторного підсилювача. Він має доступ до приміщення, де розташований розподілювальний щиток, а також до приміщень, де є неполадки мережі. В функції сантехніка входить забезпечення справного функціонування системи водопостачання та усунення неполадок. Він має доступ по всіх приміщень, де труби водопостачання виходять назовні (лабораторія, кімнати для очистки колб, туалети тощо). Користувач має доступ безпосередньо в приміщення де працює, в кімнати відпочинку. Основні функції користувача виконання експериментів, обробка та збереження їх результатів. Функції системного адміністратора -підтримка працездатності мережі в цілому, та комп’ютерів зокрема, встановлення ПЗ, усунення неполадок пов’язаних з комп’ютерною технікою. Він має доступ до приміщень, де розташовані комп’ютери та інша офісна техніка (принтери, знищувачі паперу тощо). Основними функціями СБ є: Захист території, приміщення та секретної інформації; організація перевірок надійності функціонування СЗ; навчання користувачів і персоналу АС правилам безпечної обробки інформації; контроль за дотриманням користувачами і персоналом АС встановлених правил поводження з інформацією, яка захищається, в процесі її автоматизованої обробки; вживання заходів при спробах НСД до інформації і при порушеннях правил функціонування системи захисту. Розроблення системи захисту об’єктів. Основою функціонування системи заходів захисту інформації є комплексний план ТЗІ. На підставі аналізу матеріалів обстеження окремих моделей загроз (в органі, щодо якого здійснюється ТЗІ може бути складена загальна модель) визначаються головні та поточні задачі захисту інформації, розробляються організаційні, первинні та основні технічні заходи щодо ТЗІ та вказівки про порядок їх реалізації. Оскільки ми маємо автоматизовану систему, яка представляє собою чотири комп’ютери з’єднані в локальну мережу з виходом в Інтернет, то треба передбачити засоби захисту від потрапляння в АС шкідливих програм на зразок вірусів троянів. Для цього потрібно встановити на комп’ютер-сервер, який має безпосередній вихід в Інтернет, відповідні системи захисту типу FireWall. На усі без винятку комп’ютери потрібно встановити пакет антивірусних програм, і налаштувати його відповідним чином. Потрібно вчасно обновляти бази даних для цих програмних пакетів. Також потрібно налаштувати операційну систему на даних комп’ютерах так, щоб кожен користувач, який має до них доступ, мав свій унікальний ідентифікатор, пароль і відповідні права доступу до мережених ресурсів. Потрібно ввести відповідну політику зміни паролів, для зменшення ризику розголошення будь-чийого пароля. На апаратне забезпечення, згідно матриці дестабілізуючих факторів, можуть впливати такі загрози, як: Канали спеціального впливу, шляхом формування полів і сигналів з метою руйнування систем захисту або порушення цілісності інформації; Побічні електромагнітні випромінювання і наводи, акустичні, оптичні, радіотехнічні, хімічні та інші канали витоку інформації; Несанкціонований доступ шляхом підключення спеціальної апаратури до ліній зв’язку, маскування під зареєстрованого користувача, подолання засобів захисту для використання або нав’язування хибної інформації, застосування складних пристроїв і програм. Для захисту від цих факторів необхідно використовувати: екрановані лінії передачі даних, конектори і розетки, які унеможливлюють зчитування інформації шляхом використання побічних електромагнітних випромінювань. Також потрібно використовувати спеціальне затемнене скло, яке б унеможливлювало перехоплення інформації по оптичних та акустичних каналах. Впровадження карткової системи ідентифікації працівників, зменшить ризик проникнення сторонніх осіб на територію приміщення, які можуть встановити обладнання для таємного спостереження. Необхідно також проводити роз’яснювальну роботу з персоналом, з метою підвищення у працівників відповідальності і самосвідомості у покладених на них обов’язках які стосуються захисту об’єкту. Весь персонал має проходити ретельну перевірку з метою унеможливлення “атаки з середини”, оскільки витік інформації через працівників є одним з найнебезпечніших по своїх наслідках. Щоб цього не сталося необхідно розмежувати доступ персоналу до інформації яка становить таємницю. Доступ до такої інформації має бути дозволений тільки тим працівникам, яким ця інформація необхідна для роботи. З метою впорядкування нормативно-документальної бази органу, щодо якого здійснюється ТЗІ повинні розроблені переліки наявних розпорядчих, організаційно-методичних, нормативних документів щодо ТЗІ та вказівок щодо їх виконання. Одночасно розробляються та затверджуються керівництвом інструкції, які встановлюють обов’язки, права та відповідальність особового складу органу, щодо якого здійснюється ТЗІ. В нашому випадку буде діяти Закон України “ Про інформацію “, який буде наведено у додатках , також буде наведено один із розпорядчих документів. Реалізація плану захисту інформації. Оскільки про основні технічні засоби, які являються накопичувачами інформації, було вже сказано вище то зупинимось на технічних засобах прийому і передачі (ТЗПІ) і допоміжних технічних засобах (ДТЗС). Розглянемо певні послідовності ТЗПІ то ДТЗС, можливі витоки інформації через них і відповідні засоби їх усунення: ТЗПІ: МініАТС, системний телефон та два телефони підключені до МініАТС,: Випромінювання електромагнітних сигналів, які потім можуть перехоплюватись випадковими антенами; Властивість перетворювати акустичні сигнали в електромагнітні. Для того щоб уникнути вищезгаданих загроз необхідно використовувати різні глушники, які б перешкоджали перехопленню інформації чи її спотворення. ДТЗС: Кабелі телефонного зв’язку Випромінювання електромагнітних сигналів, які можуть бути перехопленні спец. апаратурою. Сигнальні лінії мережі Ethernet , кабелі телефонного зв’язку Безконтактне знімання інформації (тобто випромінювання електромагнітних сигналів самим кабелем, проводом); Лінія електроживлення Нерівномірності споживання струму пристроями, які приймають участь в обробці інформації Сторонні незадіяні дроти Електромагнітні наведення, які можна зчитувати спеціальним обладнанням. Лінії пожежної сигналізації Властивість елементів конструкції пристроїв перетворювати акустичні сигнали в електромагнітні з подальшим пердаванням колами електроживлення або керування; Для того щоб уникнути витоку інформації через ці канали необхідно використовувати екрановані кабелі, фільтри електромагнітних коливань, різні глушники, а також унеможливити різного роду наводи. Також необхідно врахувати наступні вказівки, щодо захисту: Необхідно обгородити об’єкт парканом який забезпечував би неможливість візуального спостереження, і не допускав би проникнення сторонніх осіб на територію об’єкта. Необхідно встановити систему аварійного живлення і мережеві фільтри для того, щоб унеможливити псування інформації і пристроїв шляхом генерування перепадів напруг в електромережі. Захистити підсилювальний трансформатор та електрощитки за допомогою спеціальних захисних боксів, які закриваються на замок. Встановити у приміщені датчики руху, яку сповіщать на ПКП сигнал тривоги в разі проникнення на об’єкт сторонніх людей, в неробочий час. Щоб зменшити ризик проникнення у будівлю через вікна встановити на них додаткові магнітні датчики, які в разі розбиття чи відкривання вікна дадуть сигнал тривоги на ПКП. У приміщення які мають ІзОД встановити додаткові замки на введення пароля. На люк водопостачання та каналізаційний люк встановити зовнішні заглушки, які унеможливлять відкриття люка з середини. Контроль функціонування і керування системою ТЗІ. Для повного функціонування системи безпеки потрібний постійний контроль і нагляд над її об’єктами. Для цього наймається спеціаліст, який контроляє постійне обновлення захисних програм, перевіряє дотримання правил безпеки, перевіряє належний стан і працездатність охоронної системи (справність датчиків руху, надійність віконних грат та огорожі). Отже після складання системи захисту, повинен бути постійний контроль за роботою усіх її частин. 7. Обчислення вартості системи захисту. Вартість інформації яка оберігається становить $2,256,000.00 Вартість охоронної системи становить: Найменування Вартість, $
Зарплатня працівникам СБ 76000
Зарплатня працівникам КПП 28000
Віконні грати 1100
Тонування вікон 1100
Магнітні датчики на вікнах 100
Кодові замки 600
Дверні замки 700
Датчики руху 3000
Пожежна охорона 2000
Програмне забезпечення 10000
Звукоізоляція стін 10000
Огорожа 10000
Сума 80600
Отже рентабельність системи безпеки становить 223200/2256000=0,098936
