Использование современных технологий для обеспечения безопасности рабочего места операциониста.

_Toc337846429
ВВЕДЕНИЕ
1. ОСНОВНЫЕ ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ОРГАНИЗАЦИИ УДАЛЕННОГО ДОСТУПА
1.1 Понятие информационной безопасности
1.2 Основные угрозы безопасности информации в информационных системах
1.3 Анализ данных, обрабатываемых в автоматизированном рабочем месте операциониста и постановка задач дипломного проектирования
2. АНАЛИЗ ПРОГРАММНО-АППАРАТНОГО И ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ АВТОМАТИЗИРОВАННОГО РАБОЧЕГО МЕСТА ОПЕРАЦИОНИСТА
2.1 Анализ информационной системы автоматизированного рабочего места и ее классификация
2.2 Разработка актуальной модели угроз АРМ операциониста и модели нарушителя
2.3 Анализ аппаратно- программных решений в области защиты информации
2.3.1 Классификация аппаратно-программных решений
2.3.2 Сетевые экраны
2.3.3 Системы обнаружения атак
2.3.4 Системы обнаружения вторжений
2.3.5 Средства антивирусной защиты
3. РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО СОЗДАНИЮ СИСТЕМЫ ЗАЩИТЫ АРМ ОПЕРАЦИОНИСТА
3.1 Разработка рекомендаций по изменению структуры АРМ
3.2. Анализ остаточных угроз. Модель угроз
3.3 Техническое предложение по реализации методов защиты
4 ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА
4.1 Оценка затрат на антивирусную защиту
4.2 Экономическое обоснование целесообразности произведенных изменений
5. ОЦЕНКА БЕЗОПАСНОСТИ И ЭКОЛОГИЧНОСТИ ПРОЕКТА
5.1 Нормативные документы
5.2 Классификация электромагнитных полей
5.3 Нормируемые показатели и гигиенические нормативы электромагнитных полей
5.4 Измерение параметров электромагнитных полей
5.5 Электромагнитные поля, создаваемые ПЭВМ на рабочих местах
5.6 Оценка условий труда при действии неионизирующих электромагнитных полей
5.7 Использование генераторов шумов для маскирования электромагнитных излучений
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
?

При этом настройка и управление могут осуществляться только в рамках определенных организационных подразделений, созданных внутри домена.К общим параметрам безопасности Windowsпосле модификации схемы АО добавляются параметры SecretNet, действие которых распространяется на компьютеры сети средствами групповых политик. Доступ к этим параметрам осуществляется в стандартном узле «Параметры безопасности» оснастки «Групповая политика» или «Редактор объектов групповой политики» (в зависимости от операционной системы).Оснастку можно вызывать как отдельный, самостоятельный инструмент или в качестве расширения таких оснасток как ActiveDirectory - пользователи и компьютеры» или «ActiveDirectoryActiveDirectory - сайты и службы».4 ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА4.1 Оценка затрат на антивирусную защитуОценим затраты на создание и функционирование антивирусной системы защиты.В основе оценки лежит- оценка прямых и косвенных затрат на реализацию системы. – суммарные затраты – подготовка проекта – техническая составляющая – услуги контрагентов – содержание персонала предприятия – затраты непредвиденныеПри подготовке проекта рассчитываются суммарные затраты на выполнение необходимых мероприятий:Технологические исследованияАудит состояния существующей службы безопасностиПланирование и подготовка мероприятийИзучение опыта обеспечения безопасности в аналогичных компаниях (бенчмаркинг)Оценка стоимости организации и проведения тендеровСтоимость технической составляющей определяется как суммарные затраты на закупку необходимых устройств, материалов и комплектующих, необходимых для осуществления монтажа системы.В зависимости от вида закупаемой продукции, комплектации технических устройств, предлагаемая система бухгалтерских проводок и специфик налогообложения, часть изделий может быть зачислена в разряд основных фондов, что приведет к дополнительным затратам в виде выплат налога на имущество.Суммарные затраты на техническую составляющую:Стоимость технических устройств и изделийСтоимость расходных материаловСтоимость комплектующихСтоимость программного обеспеченияСтоимость инструментовИнструменты, изделия и комплектующие, возвращаемые на возмездной основе, зачисляются в разряд возвратных отходов, а полученная от их реализации сумма вычитается из суммы технической составляющей.Стоимость услуг контрагентов рассчитываются как сумма затрат на работы, выполняемые сторонними организациями:Стоимость исследованийСтоимость экспертных оценокСтоимость консультацийСтоимость проектно-монтажных работСтоимость пуско-наладочных работСтоимость транспортных и других услугСумма затрат на персонал предприятия рассчитываются, как сумма затрат на выплату основного оклада, надбавок за тарифный разряд, премии, материальной помощи с учетом обратных вычетов в виде штрафов, налоговых и других удержаний.Сумма затрат от непреднамеренных потерь рассчитываются как сумма затрат на потери на брак и нарушение технологии при реализации проекта, потери от технологических сбоев, потери от ошибок в работе персонала, потеря от поломки инструментов, комплектующих, потери от форс-мажорных обстоятельств.В табл. 4.1 представлены основные затраты на реализацию проекта по созданию и функционирование антивирусной системы защиты.Таблица 4.1 Затраты на реализацию проекта антивирусной защиты№ п/пЗатраты, руб (%)Затраты на подготовку проектаСтоимость технологических исследований5 000 руб.Аудит состояния службы безопасности10 000 руб.Планирование и подготовка мероприятий, направленных на создание интегрированной службы безопасности10 000 руб.Проведение маркетинговых исследований лидера отрасли10 000 руб.Организация и проведение тендеров10 000 руб. Ценовые категории технической составляющейМежсетевой экран18 990 руб.Коннекторы2000 руб.Сетевой кабель 10 руб. метрКрепеж сетевого кабеля20 руб. метрСтоимость программного обеспечения45 035 руб.Затраты на услуги контрагентовСуммарная стоимость исследования5 000 руб.Стоимость работы экспертов (экспертные оценки)10 000 руб.Стоимость консультаций10 000 руб.Монтаж оборудования40%Пуско-наладочные работы5%Транспортные услуги10 000 руб.Затраты на персонал предприятияЗ/П (основной оклад)1.Начальник отдела30 000 руб.2.Специалист25 000 руб.Основываясь на значениях, приведенных в таблице 3.1, рассчитаем основные компоненты суммарных затрат: руб.Считаем, что необходимо 100 м сетевого кабеля для подключения сетевого экрана руб. руб. руб.Зная, слагаемы общих затрат, можем определить суммарные затраты на реализацию проекта системы антивирусной защиты руб.Таким образом, суммарные затраты на разработку, создание и функционирование антивирусной защиты предприятия составит 203621 руб.4.2 Экономическое обоснование целесообразности произведенных измененийДля оценки эффективности предложенной комплексной системы защиты необходимо провести расчет стоимость внедрения КСЗИ до изменения структуры информационной системы и после.Общие затраты на комплексную систему защиты будут складываться из стоимости технических и программных средств, а так же оплаты труда специалисту., (2)гдеСЗ – совокупные затраты,ТЗ – технические затраты,ПЗ – программные затраты,ОЗ – организационные затраты,ОТ – оплата труда.Таким образом, для внедрения КСЗИ в исходную ИС необходимо:9 АПКШ «Континент», 21 СЗИ SecretNet 6.5, 21 Антивирус SecurityStudioEndpointProtection, пакет документов, 5 специалистов по ЗИ.Стоимость одного комплекса АПКШ «Континент» составляет 90 тыс. руб.СЗИ SecretNet 6.5 – 6400 руб.SecurityStudioEndpointProtection – 2700 руб.Составление пакета документов стоит 100 тыс. руб.Оплата труда специалиста труда выбрана в размере 45 тыс. руб.Стоимость внедрения составит:Таким образом, стоимость внедрения комплексной системы защиты в исходную МИС на один год составляет почти 4 млн. рублей.Общие затраты на КСЗИ после изменения структуры МИС примут вид:Стоимость КСЗИ после изменения структуры составляет млн.рублей.На рис.4.2 представлено сравнение совокупной стоимости (в тыс.руб.) владения КСЗИ на пять лет исходной ИС и ИС после изменения структуры. Рис.4.2. Сравнение ТСО на 5 летИз представленного графика наглядно видно, что затраты на внедрение комплексной системы защиты после изменение структуры ИС в несколько раз ниже, чем затраты на внедрение в исходную ИС. Что говорит о целесообразности применения рекомендуемых изменений в информационной системе.5. ОЦЕНКА БЕЗОПАСНОСТИ И ЭКОЛОГИЧНОСТИ ПРОЕКТА5.1 Нормативные документыК нормативным документам при оценке электромагнитных излучений от компьютера обычно относят: ⎯ ГОСТ 12.1.002–84. «ССБТ. Электрические поля промышленной частоты. Допустимые уровни напряженности и требования к проведению контроля»; ⎯ ГОСТ 12.1.006–84. «ССБТ. Электромагнитные поля радиочастот. Допустимые уровни на рабочих местах и требования к проведению контроля» (в ред. изм. № 1, утвержденных постановлением Госкомитета СССР по стандартам от 13.11.1987 г. № 4161); ⎯ ГОСТ 12.1.045–84. «ССБТ. Электростатические поля. Допустимые уровни на рабочих местах и требования к проведению контроля»; ⎯СанПиН 2.2.2.1332–03. «Гигиенические требования к организации работы на копировально-множительной технике»;⎯СанПиН 2.2.2/2.4.1340–03. «Гигиенические требования к персональным электронно-вычислительным машинам и организации работы»; ⎯СанПиН 2.2.4.1191–03. «Электромагнитные поля в производственных условиях»; ⎯ СанПиН 2.2.4.1329–03. «Требования по защите персонала от воздействия импульсных электромагнитных полей»; ⎯СанПиН 2.2.4/2.1.8.055–96. «Электромагнитные излучения радиочастотного диапазона (ЭМИ РЧ)» (в ред. изм. № 1 СанПин 2.2.4/2.1.8.989–00 и в ред. Постановления Главного государственного санитарного врача РФ от 19.02.2003 г. № 11); ⎯ МР 2159–80. «Методические рекомендации по проведению лабораторного контроля за источниками электромагнитных полей неионизирующей части спектра при осуществлении государственного санитарного надзора»; ⎯ МУ 3207–85. «Методические указания по гигиенической оценке основных параметров магнитных полей, создаваемых машинами контактной сварки переменным током частотой 50 Гц»; ⎯ МУК 4.3.677–97. «Определение уровней электромагнитных полей на рабочих местах персонала радиопредприятий, технические средства которых работают в НЧ, СЧ, и ВЧ диапазонах»; ⎯ ОБУВ № 5060–89. «Ориентировочные безопасные уровни воздействия переменных магнитных полей частотой 50 Гц при производстве работ под напряжением на воздушных линиях (ВЛ) электропередачи напряжением 220–1150 кВ». 5.2 Классификация электромагнитных полейЭлектромагнитные поля по частотному диапазону классифицируются на:– электростатические (ЭСП); – постоянные магнитные; – электрические и магнитные поля промышленной частоты 50 Гц; – электромагнитные поля радиочастот > = 10 кГЦ – 300 гГц. В пособии рассмотрены только электрические и магнитные поля промышленной частоты 50 Гц и электрические и магнитные поля компьютеров. 5.3 Нормируемые показатели и гигиенические нормативы электромагнитных полейПоказателями, характеризующими электромагнитные поля, являются: ⎯ напряженность электрического поля – Е, В/м; ⎯ напряженность магнитного поля – Н, А/м, или плотность магнитного потока – В, мкТл, связанные соотношением 1 мкТл = 0,8 А/ м;.⎯ плотность потока электромагнитной энергии (ППЭ) — энергия, проходящая через 1 см2 поверхности, перпендикулярной к направлению распространения электромагнитной волны, за 1 с, Вт/м2, мкВт/см2 ;⎯ энергетическая экспозиция напряженностей электрических и магнитных в диапазоне частот 30 кГц … 300 МГц: , (В/м)2ч , (А/м)2ч –– энергетическая экспозиция плотности потока энергии В диапазоне частот 300 МГц — 300 ГГц: , (В/м)2ч Т — время воздействия за смену (ч).Выбор регистрируемых параметров электромагнитного поля определяется с учетом особенностей формирования электромагнитного поля в зависимости от частоты электромагнитного излучения и расстояния до источника излучения. В так называемой «ближней» зоне (зоне индукции), на расстоянии от источника г < λ/2π, в которой электромагнитная волна еще не сформирована, соотношение между электрической и магнитной составляющими в этой зоне может быть самым различным. Измерения переменного электрического и магнитного полей производятся раздельно. На практике при частотах ниже 300 МГц электромагнитное поле следует определить как «ближнее поле» и электрическую и магнитную составляющие поля рассматривать отдельно. В так называемой «дальней» зоне (волновой зоне) измеряется плотность потока электромагнитной энергии (ППЭ). Между зонами индукции и волновой зоной располагается промежуточная зона, или зона интерференции. Для зоны интерференции характерно наличие как поля индукции, так и распространяющейся электромагнитной волны. Для оценки интенсивности электромагнитных полей в разных зонах используются различные методы и средства измерения. Гигиенические нормативы на параметры электромагнитных полей устанавливаются в зависимости от ряда параметров. 1. Отношения человека, подвергающегося воздействию ЭМП, к источнику излучения. Различаются два вида воздействия: профессиональное и непрофессиональное. ПДУ для профессионального и непрофессионального воздействия различны. Непрофессиональное воздействие электромагнитных полей и излучений не рассматривается. 2. Частоты электромагнитного излучения. При гигиеническом нормировании различают: электростатические поля, постоянные магнитные поля, переменные электрическое и магнитное поле промышленной частоты 50 Гц, электромагнитные излучения радиочастотного диапазона. 3. Характера временного воздействия электромагнитного поля. В установлении нормативов различают постоянное и прерывистое воздействие поля на организм человека. 4. Местоположения области тела, подвергаемой воздействию. Такое гигиеническое деление определено для уровней постоянных магнитных полей, магнитных полей промышленной частоты 50Гц и подразделяется на общее и локальное. Общее воздействие – это воздействие на все тело. Локальное воздействие ограничено кистями рук, верхним плечевым поясом для постоянного магнитного поля и конечностями – для магнитного поля промышленной частоты 50 Гц. Электростатическое поле. (ГОСТ 12.1.045–84 и СанПиН 2.2.4.1191-03) Установлены ПДУ электростатического поля (ЭСП) в условиях воздействия на рабочих местах персонала: – обеспечивающего производство, обработку и транспортировку диэлектрических материалов в текстильной, деревообрабатывающей, целлюлозно-бумажной, химической и других отраслях промышленности; ⎯ эксплуатирующего энергосистемы постоянного тока высокого напряжения; ⎯ в некоторых специфических случаях (например, при воздействии электростатического поля, создаваемого персональными электронно-вычислительными машинами (согласно СанПиН 2.2.2/2.4.1340–03). Уровень ЭСП оценивают в единицах напряженности электрического поля (Е), кВ/м. В случаях профессионального воздействия оценка и нормирование ЭСП осуществляются по уровню электрического поля дифференцированно в зависимости от времени его воздействия на работника за смену.При напряженностях ЭСП менее 20 кВ/м время пребывания персонала в электростатических полях не регламентируется. Предельно допустимый уровень напряженности электростатического поля (ЕПДУ) при воздействии его < 1 час за смену устанавливается равным 60 кВ/м. При воздействии ЭСП более 1 ч за смену предельно допустимый уровень напряженности электростатического поля определяется по формуле:,где t - время воздействия (ч). В диапазоне напряженностей 20…60 кВ/м допустимое время пребывания персонала в ЭСП без средств защиты (tдоп) определяется по формуле:где Ефакт — измеренное значение напряженности ЭСП (кВ/м). Временные допустимые уровни электростатического поля, создаваемого персональными электронно-вычислительными машинами на рабочих местах, представлены ниже в соответствующем разделе. Электрические (ЭП) и магнитные поля(МП)промышленной частоты 50 Гц (СанПиН 2.2.4.1191–03) Такие поля необходимо оценивать на рабочих местах персонала, обслуживающего электроустановки переменного тока в установках большой мощности, например, линий электропередачи, распределительных устройствах, электросварочном оборудовании, высоковольтном электрооборудовании промышленного, научного и медицинского назначения и др.Нормирование производится дифференцированно для электрического и магнитного полей в зависимости от времени пребывания в электромагнитном поле. Электрические поля. Предельно допустимый уровень напряженности ЭП на рабочем месте, действующего в течение всей смены, устанавливается равным 5 кВ/м. При напряженностях в интервале от 5 до 20 кВ/м включительно рассчитывается допустимое время пребывания в электрическом поле по формуле: T = 50 / E - 2,где Т — допустимое время пребывания в ЭП при соответствующем уровне напряженности, ч; Е — напряженность ЭП в контролируемой зоне, кВ/м. При напряженностях от 20 до 25 кВ/м допустимое время пребывания в ЭП составляет 10 мин. Пребывание в ЭП с напряженностью более 25 кВ/м без применения средств защиты не допускается. Время пребывания персонала в течение рабочего дня в зонах с различной напряженностью ЭП вычисляют по формуле:где Тпр — приведенное время, эквивалентное по биологическому эффекту пребывания в ЭП нижней границы нормируемой напряженности; tE1, tE2, ..., tEn— время пребывания в контролируемых зонах с напряженностью Е1, E2 ... Е n, ч; TE1, TE2, ..., ТЕn — допустимое время пребывания для соответствующих напряженностей электрического поля. Приведенное время не должно превышать 8 ч.Количество контролируемых зон определяется перепадом уровней напряженности ЭП на рабочем месте. Различие в уровнях напряженности ЭП контролируемых зон устанавливается 1 кВ/м. Предельно допустимые уровни напряженности периодических МП устанавливаются для условий общего и локального воздействия и приведены в табл. 5.1. Таблица 5.1 - ПДУ воздействия периодического магнитного поля частотой 50 ГцДопустимое время пребывания может быть реализовано одноразово или дробно в течение рабочего дня. Таблица 5.2 ПДУ воздействия импульсных магнитных полей частотой 50 Гц в зависимости от режима генерацииПредельно допустимые уровни амплитудного значения напряженности магнитного поля в условиях воздействия импульсных магнитных полей 50 Гц дифференцированы в зависимости от общей продолжительности воздействия за рабочую смену и характеристики импульсных режимов генерации (длительности импульсов и длительности паузы между импульсами) и приведены в табл. 5.2. Временные допустимые уровни ЭМП, создаваемых ПЭВМ на рабочих местах пользователей, приведены в табл. 5.2. Таблица 5.3 Временные допустимые уровни ЭМП, создаваемых ПЭВМ на рабочих местах пользователей ПЭВМНаименование параметровВДУНапряженность электрического поляВ диапазоне частот 5 Гц- 2кГЦ25 В/мВ диапазоне частот 3 кГц- 400кГЦ2,5 В/мПлотность магнитного поляВ диапазоне частот 5 Гц-2 кГц250 нТлЭлектростатический потенциал экрана видемонитора500 В5.4 Измерение параметров электромагнитных полейИзмерения выполняются при работе источника с максимальной мощностью. Не допускается проведения измерений при наличии атмосферных осадков, а также при температуре и влажности воздуха, выходящих за предельные рабочие параметры средств измерений. При гигиенической оценке уровней ЭМП на рабочем месте определяющим является наибольшее из всех зарегистрированных значений. Электростатические поля Контроль напряженности электростатических полей в пространстве проводится путем покомпонентного измерения полного вектора напряженности или измерения модуля этого вектора. При профессиональном воздействии напряженность электростатических полей контролируется на высоте от опорной поверхности 0,5; 1,0 и 1,7 м – при рабочей позе «стоя» и 0,5; 0,8 и 1,4 м – при позе «сидя». Контроль напряженности ЭСП должен осуществляться на постоянных рабочих местах или, в случае отсутствия постоянного рабочего места, в нескольких точках рабочей зоны, расположенных на разных расстояниях от источника. Измерение напряженности ЭСП должно осуществляться в отсутствие работающего персонала.При гигиенической оценке напряженности ЭСП на рабочем месте определяющим является наибольшее из всех зарегистрированных значений. Электрические и магнитные поля промышленной частоты 50 Гц В электроустановках с однофазными источниками ЭМП измеряются действующие значения ЭП и МП: Е = Ем / и Н= Hм / , где Ем и Нм — амплитудные значения изменения во времени напряженностей ЭП и МП. В электроустановках с двух- и более фазными источниками ЭМП контролируются действующие (эффективные) значения напряженностей Емах и Нмах, где Емах и Нмах — действующие значения напряженностей по большей полуоси эллипса или эллипсоида. Измерение уровней ЭП и МП частотой 50 Гц должно осуществляться во всех зонах возможного нахождения человека при выполнении им работ, связанных с эксплуатацией и ремонтом электроустановок. Измерения напряженности ЭП и МП частотой 50 Гц должны проводиться на высоте 0,5; 1,5 и 1,8 м от поверхности земли, пола помещения или площадки обслуживания оборудования и на расстоянии 0,5 м от оборудования и конструкций, стен зданий и сооружений. На рабочих местах, расположенных на уровне земли и вне зоны действия экранирующих устройств, в соответствии с государственным стандартом на экранирующие устройства для защиты от электрических полей промышленной частоты допускается измерять напряженность ЭП частотой 50 Гц лишь на высоте 1,8 м. При расположении нового рабочего места над источником МП напряженность (индукция) МП частотой 50Гц должна измеряться на уровне земли, пола помещения, кабельного канала или лотка. 5.5 Электромагнитные поля, создаваемые ПЭВМ на рабочих местахПри проведении измерений электромагнитных полей, создаваемых ПЭВМ на рабочих местах, необходимо установить на экране видеодисплейного терминала типичное для данного вида работы изображение (текст, графика и др.). При проведении измерений должна быть включена вся вычислительная техника, ВДТ и другое используемое для работы электрооборудование, размещенное в данном помещении. Измерения параметров электростатического поля следует проводить не ранее чем через 20 мин после включения ПЭВМ. Измерение уровней переменных электрических и магнитных полей, статических электрических полей на рабочем месте, оборудованном ПЭВМ, производится на расстоянии 50 см от экрана на трех уровнях на высоте 0,5; 1 и 1,5 м. При превышении на обследуемом рабочем месте интенсивности электрического и/или магнитного поля в диапазоне 5…2000 Гц следует провести измерения фоновых уровней ЭМП промышленной частоты при выключенном системном блоке и видеомониторе. Схемы размещения рабочих мест с ВДТ и ПЭВМ должны учитывать расстояния между рабочими столами с видеомониторами (в направлении тыла поверхности одного видеомонитора и экрана другого видеомонитора), которое должно быть не менее 2,0 м, а расстояние между боковыми поверхностями видеомониторов - не менее 1,2 м.Рис.5.1 Размещение источников излучения на рабочем местеРекомендуется установить защитную перегородку для снижения воздействия электромагнитного излучения от задней части другого монитора. Недопустимо устраивать рабочие места близко друг к другуФоновый уровень электрического поля частотой 50 Гц не должен превышать 500 В/м. Фоновые уровни индукции магнитного поля не должны вызывать нарушения установленных требований к визуальным параметрам видеодисплейного терминала. Для контроля уровней электромагнитного излучения используются измерители напряженности электрического поля, измерители напряженности магнитного поля, измерители плотности потока энергии. В качестве датчиков поля в зависимости от типа прибора используются антенны. 5.6 Оценка условий труда при действии неионизирующих электромагнитных полейОтнесение условий труда к тому или иному классу вредности и опасности при воздействии неионизирующих электромагнитных полей и излучений осуществляется в соответствии с табл.4.4. При одновременном или последовательном пребывании за рабочую смену в условиях воздействия нескольких электромагнитных полей и излучений, для которых установлены разные ПДУ (табл.5.4), класс условий труда на рабочем месте устанавливается по фактору, для которого определена наиболее высокая степень вредности. Таблица 5.4 Классы условий труда при действии неионизирующих электромагнитных полей и излучений ПоказательКласс условий трудаоптимальныйдопустимыйвредныйопасный123.13.23.33.44Электростатическое полеЕстественный фон ПДУ5>5-Электростатическиее поля промышленной частоты (50 Гц)Естественный фон ПДУ5>10>40Магнитные поля промышленной частоты (50 Гц)Естественный фон ПДУ5>10Электромагнитные поля на рабочем месте пользователя ПЭВМ ВДУ>ВДУПревышение ПДУ (ВДУ) двух и более оцениваемых электромагнитных факторов, отнесенных к одной и той же степени вредности, повышает класс условий труда на одну ступень. Если при аттестации электромагнитных полей компьютеров в диапазоне частот 5 Гц…2000 кГц измеренные значения напряженности электрических или магнитных полей превышают нормативные значения, то необходимо измерить фоновые концентрации (при отключении системного блока и видеомонитора). Оценку условий труда следует производить по разности значений напряженностей полей при включенном и выключенном оборудовании. Плотность магнитного поля на частотах 2 Гц – 2 кГц при всем включенном оборудовании составляет– 500 нТл, при выключенном оборудовании – 300 нТл. Нормативное значение плотности магнитного поля на этих частотах (табл.5.4) составляет 250 нТл. Следовательно, класс условий труда 2, т.к. плотность магнитного потока от самого компьютера – 200 нТл. 5.7 Использование генераторов шумов для маскирования электромагнитных излученийАктивные способы защиты от элетромагнитных излучений связаны с созданием маскирующих пространственных электромагнитных помех и осуществляются с целью закрытия электромагнитных и электрических каналов утечки информации в том случае, если минимальное расстояние от аппаратных средств ИС до границы контролируемой зоны менее значения зоны 2 для данного технического средства. Для создания маскирующих пространственных электромагнитных помех используются широкополосные генераторы шума со специальными антеннами, обеспечивающие постановку шумовых помех во всем диапазоне возможных побочных электромагнитных излучений и наводок. Один генератор шума может использоваться для защиты одного или нескольких аппаратных средств ИС. Если в здании расположено несколько аппаратных средств ИС, то для их защиты может использоваться единая система пространственного зашумления, включающая в свой состав один или несколько генераторов шума и соответствующие антенные системы. Генераторы шума при этом могут устанавливаться как внутри помещений, так и вне их (например, на крыше здания). Места размещения генераторов шума выбирают таким образом, что бы обеспечить максимальный уровень помехового сигнала в местах в местах возможного размещения аппаратуры перехвата.Для осуществления активной радиотехнической маскировки ПЭМИ требуется устройство, создающее шумовое электромагнитное поле в диапазоне частот от десятков килогерц до 1000 МГц со спектральным уровнем, существенно превышающим уровни естественных шумов и информационных излучений средств вычислительной техники. В основу их разработки положен принцип нелинейной стохастизации колебаний, при котором шумовые колебания реализуются в автоколебательной системе не в следствие флуктуаций, а за счет внутренней сложной нелинейной динамики генератора. Сформированный генератором шумовой сигнал с помощью активной антенны излучается в пространство. Технические характеристики генератора шума ГШ-1000, приведены в таблице 5.5Таблица 5.5 - Технические характеристики ГШ-1000ПараметрЗначениедиапазон частот 0,1-1000 МГц уровень шумового сигнала относительно 1 мкВ на расстоянии 1 м от антенны в диапазоне 0,1-1 МГц не менее 46 дБ уровень шумового сигнала относительно 1 мкВ на расстоянии 1 м от антенны в диапазоне 1-100 МГц не менее 48 дБ уровень шумового сигнала относительно 1 мкВ на расстоянии 1 м от антенны в диапазоне 100-1000 МГц не менее 38 дБ коэффициент качества шума не менее 0,8 питание 220 ВВыводы по разделуВ данном разделе было проанализировано рабочее место разработчика ПО с точки зрения электромагнитныхзлучений. При рассмотрении вопросов безопасности большое внимание уделялось проблемам: - электромагнитных излучений на рабочем месте; - оценка условий труда при действии неионизирующих электромагнитных полейБыли произведены расчеты для оценки условий труда при действии неионизирующих электромагнитных полейВопрос экологической безопасности не был рассмотрен, так как современный компьютер является устройством, практически не оказывающим вредного воздействия на состояние окружающей среды, поэтому можно считать, что процесс работы на ЭВМ экологически безопасен.ЗАКЛЮЧЕНИЕВ ходе выполнения дипломной работы были достигнуты все поставленные задачи: Анализ информационной системы и циркулирующей в ней информации.Внутри ИС, в рамках функций выполняемых ею, циркулирует информация о клиентах банка и данных обостатках. Такие данные являются персональными, контроль над обработкой таких данных осуществляется государством. В РФ существует законодательная база регулирующая область защиты персональных данных.Анализ требований российского законодательства в области защиты персональных данных в банковских учреждениях.Не смотря на то, что законодательная база для защиты персональных существует давно, и выдвигает жесткие требования к операторам персональных данных. А за нарушение требований грозит ответственность вплоть до лишения лицензии на осуществления основного вида деятельности, не все ИС приведены в соответствие с требования. На данный момент приведение ИС, рассматриваемой в дипломной работе, в соответствие со всеми требованиями является основной задачей для компании. Обработка персональных данных является необходимым обеспечением правильного функционирования всех бизнес процессов учреждения. Соответствие требованиям особо актуально ввиду обработки данных касающегосясчетов субъектов обработки.Информационная система имеет низкую степень исходной защищенности и длинный список актуальных угроз. Необходимо создать комплексную систему защиты ИС, а именно предложить решения по обеспечению безопасности конфиденциальной информации при ее обращении в ИС.Разработка рекомендаций по изменению структуры информационной системы.Было проведено понижение класса ИС и сужения круга объектов нуждающихся в защите. Проанализирована исходная степень защищенности информационной системы обработки персональных данных после изменения структуры. На основе, которой с использование руководящих документов ФТЭК составлена модель угроз. Составленная модель угроз показала значительное снижение актуальных угроз. Так же диаграмма зависимости вероятности реализации угрозы от количества объектов защиты показала рациональность сужения круга защищаемых узлов сети. Разработка системы защиты персональных данных.Была составлена модель угроз, которая позволила применить именно те контрмеры, которые актуальны для условий использования защищаемой системы. Для каждой из угроз выбраны и описаны средства противодействия, соответствующие требования государственных регуляторов.Разработка рекомендаций по внедрению системы защиты.В результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты ИС. Для чего были выбрана необходимые мероприятия. Так же были даны рекомендации по применению КСЗИРасчет совокупной стоимости внедрения и владения системой защиты персональных данных.Благодаря выполнению вышеперечисленных задач цель работы – создание системы защиты персональных данных в банковском учреждении – была достигнута.СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВФедеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;Постановление Правительства РФ № 687 от 15.09.2008 г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».Бождай А.С., Финогеев А.Г., Сетевые технологии. Часть 1: Учебное пособие. - Пенза: Изд-во ПГУ, 2005. - 107 с.Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. - СПб.: СПбГУ ИТМО, 2004. - 161 с.Федеральный закон №85-ФЗ от 04.07.1996 г. «Об участии в информационном обмене. Ст. 2» Домарев В.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2004. –992 с.Бармен С., Разработка правил информационной безопасности. - М.: Издательский дом "Вильямс", 2002. - 208 с. Белов Е.Б., Лось В.П., Основы информационной безопасности. - М.: Горячая линя - Телеком, 2006. — 544 сБачило И.Л., Лопатин В.Н., Федотов М.А., Информационное право.– Спб.: Изд-во «Юридический центр Пресс», 2001. - 789 с.Курило А.П., Зефиров С.А., Голованов В.Б., и др. Аудит информационной безопасности – М.: Издательская группа «БДЦ-пресс», 2006. – 304 с.Петренко С.А., Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с.Гайдамакин Н.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург: : Издательство Урал, 2008. – 257 с.Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2001. - 288 с.: ил. Браун С., Виртуальные частные сети VPN. – М.: Горячая линя - Телеком, 2004. — 346 сГОСТ Р 50739-95 - Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.Галатенко В.А., Стандарты информационной безопасности. - М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 328 c.: илСудоплатов А.П., Пекарев СВ. Безопасность предпринимательской деятельности: Практическое пособие. VI.: 2001.Ярочкин В.Н. Безопасность информационных систем. М.: Ось-80, 1996