Разработка рекомендаций по технической защите конфиденциальной информации от её утечки по акустическому каналу из защищаемого помещения

В работе проводится анализ выделенного помещения кампании Comparex (данные о компании изменены, в целях избежания распространения конфиденциальной информации). Путем проведения оценки защищенности - выявлены уязвимые места (не соответствующие нормативным требованиям). После чего представлены рекомендации по внедрению активных и пассивных методов защиты, а так же по проведению организационных мероприятий. В завершении приведено технико-экономическое обоснование выбора предложенных решений.

Дата защиты 2016 год. Полученная оценка 4 - хорошо. Антиплагиат оригинальность 77,43%. ...

СОДЕРЖАНИЕ
Введение …………….
Глава 1. Анализ защищенности исследуемого помещения
1.1 Анализ объекта защиты информации
1.2 Анализ каналов утечки речевой (акустичской) инфрмации
1.3 Анализ потоков информации, циркулирующей на защищаемом объекте
1.4 Анализ угроз и уязвимостей информации от утечки по акустическому каналу
1.5 Оценка защищенности речевой информации от утечки по акустическому каналу
Вывод по первой главе
Глава 2. Разработка системы защиты информации для защищаемого помещения
2.1 Анализ нормативно-правовой базы по защите акустического канала
2.2 Разработка эскизного проекта защиты информации от утечки по акустическому каналу
2.3 Разработка организационных мероприятий по защите конфиденциальной информации
Вывод по второй главе
Глава 3 Разработка рекомендаций по внедрениюи использованию предложенных решений
3.1 Технико-экономическое обоснование выбора средств оценки защищенности помещения
3.2 Технико-экономическое обоснование выбора и применения средств защиты информации от утечки по акустическому каналу
3.3 Оценка эффективности способов реализации предложенных решений
Заключение
Список используемых источников
ПРИЛОЖЕНИЕ 1

В современном обществе, одним из эффективных средств в борьбе с конкурентами за лидирующие позиции на рынке остается слежение за их достижениями, разработками, применяемыми технологиями. Реалии экономической жизни таковы, что негативное воздействие некоторых субъектов зачастую носит противоправный характер.
Потому все большее число владельцев бизнеса стремиться сохранить наиболее ценные данные в тайне. Это их законное право. Важность информации и критичность ее утраты понимали во все времена, но в наше время этот вопрос особенно актуален. С развитием технологий развивается и промышленный шпионаж.
Актуальность темы данной выпускной квалификационной работы обусловлена тем, что защищаемое помещение является одним из важнейших помещений на территории предприятия, так как в ней планируется про ведение переговоров и совещания, на которых обсуждается информация ограниченного доступа и данное помещение может стать объектом атаки злоумышленника.

Qi (Gi) = Lc1i (Vc1i) – Lc2i (Vc2i) (1)где, Lc1i (Vc1i) уровень акустического шума, который измеряется при выключенных акустических излучателях в защищаемом помещении.где, Lc2i (Vc2i) уровень акустического сигнала в контрольных точках конструкций. 9582153175000L(С+Ш)i, при L(С+Ш)i- L(Ш)i ≥10Lc2i = (2) L(С+Ш)i- ∆,при L(С+Ш)i- L(Ш)i <109582153175000V(С+Ш)i, при V(С+Ш)i- V(Ш)i ≥10Vc2i = (3) V(С+Ш)i- ∆,при V(С+Ш)i- V(Ш)i <10где ∆ - поправка в дБ, определяется из таблицы 3.Таблица 3 Поправки для коэффициента звукоизоляцииL(С+Ш)i- L(Ш)i106…104…63210,5∆, дБ01234710Для расчета коэффициента звукоизоляции использовались формулы (1) и (2).Измерению были подвергнуты следующие конструкции защищаемого помещения:Дверьвходная;Окно №1;Окно №2;Пол;Потолок;Стеновая перегородка;Система вентиляции; Протокол оценки защищенности переговорной комнаты по акустическому каналу показан в Приложении 2. В ходе проведения оценки защищенности переговорной комнаты по акустическому каналу было выявлено, что помещение не соответствует нормативным требованиям. На таблице 4 представлены результаты оценки. Рассмотрим детальнее, какие ограждающие конструкции и инженерные коммуникации не соответствуют нормам защищенности.Таблица 4Результат сопоставления полученных с нормативными значениямиИзмеряемая конструкцияКонтрольная точкаСоответствие нормативному значению по октавным полосам250500100020004000Стеновая перегородкаКонтрольная точка 1ДаДаДаДаДаКонтрольная точка 2ДаДаДаДаДаПродолжение таблицы 4 Контрольная точка 3ДаДаДаДаДаКонтрольная точка 4ДаДаДаДаДаВходная дверьКонтрольная точка 1НетНетДаНетНетКонтрольная точка 2НетНетНетНетНет Контрольная точка 3НетНетДаНетНетОкно №1Контрольная точка 1ДаДаДаДаДаКонтрольная точка 2ДаДаДаДаДа Контрольная точка 3ДаДаДаДаДаОкно №2Контрольная точка 1ДаДаДаДаДаКонтрольная точка 2ДаДаДаДаДа Контрольная точка 3ДаДаДаДаДаПолКонтрольная точка 1ДаДаДаДаДаКонтрольная точка 2ДаДаДаДаДа Контрольная точка 3ДаДаДаДаДаКонтрольная точка 4ДаДаДаДаДаКонтрольная точка 5ДаДаДаДаДаКонтрольная точка 6ДаДаДаДаДаПотолок Контрольная точка 1НетДаНетНетДаКонтрольная точка 2НетНетДаНетНетКонтрольная точка 3НетНетНетНетНетКонтрольная точка 4НетНетДаНетНетКонтрольная точка 5НетНетНетНетНетКонтрольная точка 6НетНетДаНетНетСистема вентиляцииКонтрольная точка 1НетНетНетНетНет Контрольная точка 2НетНетНетНетНетИз всех рассмотренных ограждающих конструкций и инженерных коммуникаций, нормам защищенности соответствует оба окна, пол и стеновая перегородка. Система вентиляции, дверь и потолок нормам защищенности не соответствуют. Следовательно, для повышения защищенности помещения, рассмотрим возможные средства защиты.Выводы по первой главеТаким образом, в первой главе был проведен анализ защищаемого объекта на предмет возможных утечек речевой конфиденциальной информации по акустическому каналу. В ходе анализа были выявлены потенциально уязвимые направления утечки информации. После чего был рассмотрен процесс оценки защищенности переговорной комнаты от утечки речевой конфиденциальной информации и проведены расчёты коэффициентов звукоизоляции ограждающих конструкций и инженерно-технических коммуникаций. Вследствие расчетов были получены результаты, из которых следует, что не соответствующим нормам конструкции являются входная дверь, система вентиляции и потолочное перекрытие. Глава 2. Разработка системы защиты2.1. Анализ нормативно-правовой базыВ рамках бакалаврской работы необходимо опираться на Федеральный закон от 27.07.2006 N 149-ФЗ (ред. От 13.07.2015) «Об информации, информационных технологиях и о защите информации». Исходя из данного федерального закона, можно сделать вывод, что информация подразделяется на два основных вида доступности – общедоступная и информация ограниченного доступа.Общедоступной считается информация, к которой нельзя скрыть доступ от общества. К примеру, информация об окружающей среде, о деятельности органов власти и тому подобное.К информации ограниченного доступа относится та информация, которая представляет собой ценность для её владельца, доступ к которой ограничен в рамках законодательства.Информация ограниченного доступа разделяется на информацию, составляющую государственную тайну и конфиденциальную информацию, соблюдение конфиденциальности которой установлено законодательством. Классификация видов информации представлена на рис.11.Рис.11. Классификация видов информацииКонфиденциальную информацию также можно разделить на шесть категорий: персональные данные, служебная тайна, тайна следствия и судопроизводства, профессиональная тайна, сведения об изобретениях и коммерческая тайна.В данной бакалаврской работе, на исследуемом объекте циркулирует информация, составляющая коммерческую тайну.Так же, необходимо затронуть Федеральный закон от 04.04.2011 N 99-ФЗ (ред. от 13.07.2015, с изм. от 30.12.2015) «О лицензировании отдельных видов деятельности», из которого можно понять, что существуют виды деятельности, которые подлежат лицензированию, с целью предотвращения ущерба правам, законным интересам, жизни и здоровью граждан, окружающей среде, объектам культурного наследия народов, обороне и безопасности государства. Ниже представлены виды деятельности, подлежащие получению лицензии (рис.12).Рис.12. Схема видов деятельности, подлежащих лицензированиюИсходя из данных, представленных в схеме выше можно сделать вывод, что, так как целью выпускной бакалаврской работы является разработка рекомендаций, для данного вида деятельности необходимо пройти процедуру лицензирования деятельности по технической защите конфиденциальной информации. Данная процедура проводится Федеральной службой по техническому и экспортному контролю. О технике её проведения подробно описано в Постановлении Правительства РФ от 03.02.2012 N 79 «О лицензировании деятельности по технической защите конфиденциальной информации».При проведении оценки защищенности переговорной комнаты от утечки конфиденциальной информации, необходимо ссылаться на:Документы, содержащие специальные требования по защите конфиденциальной информации[3].Методики оценки защищенности конфиденциальной информации от утечки[4].При проведении совещаний в переговорной комнате с использованием конфиденциальной речевой информации, возможна утечка информации по акустическому каналу. В организации должен иметься перечень защищаемых помещений и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации.Рекомендуется использовать в защищаемом помещении только сертифицированные основные и вспомогательные технические средства, и системы. По решению руководителя организации проводится специальная проверка защищаемого помещения и установленного в нём оборудования для выявления негласных средств съёма информации.Во время проведения конфиденциальных мероприятий запретить использование в защищаемом помещении средства аудио и видеозаписи.Звукоизоляция ограждающих конструкций в защищаемом помещении, система вентиляции должны исключать возможность прослушивания за пределами защищаемого помещения. Исключить возможность установки посторонних предметов на внешней стороне ограждающих конструкций защищаемого помещения и выходящих из них инженерных коммуникаций (отопление, вентиляция).Контролировать доступ в помещение, исключать несанкционированный доступ. Запирать двери на ключ в нерабочее время, ключ выдавать только ответственным за помещение или лицам, работающим в данном помещении. Установку и замену оборудования, мебели или ремонта защищаемого помещения проводить под контролем специалиста по защите информации.С помощью методик проводится инструментально–расчётная оценка защищенности помещения от утечки речевой конфиденциальной информации по акустическому каналу при аттестации помещения на соответствие требованиям защищенности, при плановом периодическом контроле защищенности, а также после осуществления их ремонта или реконструкции. В методиках содержатся нормативные значения, обеспечивающие защищенность от утечки конфиденциальной информации, порядок проведения оценки защищенности, состав контрольно-измерительной аппаратуры и порядок проведении измерений.2.2. Разработка эскизного проекта защитыАкустический канал распространяется по воздушному пространству, но также возможно его просачивание через ограждающие конструкции (стены, потолок и пол, дверь, окна) и инженерно-технические коммуникации (система вентиляции, отопления, водоснабжения), если те не соответствуют нормам защиты.Существуют методы пассивной и активной защиты конфиденциальной информации от её утечки по техническим каналам. Пассивные методы направлены на обеспечение скрытия объекта защиты, путем поглощения, отражения или рассеивания его информационного сигнала. Активные, в свою очередь, направлены на обеспечение создания маскирующих помех, за счет имитации специальным техническим устройством. В итоге, за пределами контролируемой зоны, основные характеристики информационного сигнала, смешиваются с имитационными помехами, уловить сигнал остается, возможно, но на фоне помех выбрать информативный сигнал становится практически невозможно [6].Исходя из данных, полученных в первой главе, защите подлежат следующие конструкции помещения:Дверь входная;Система вентиляции; Потолочное перекрытие.Рассмотрим рекомендации по применению методов активной защиты конфиденциальной акустической информации от утечки по акустическому каналу.Применение активных методов заключается в создании маскировочного информационного сигнала различными средствами, издаваемыми шумовые помехи. Такие устройства называют генераторами акустического шума (рис.13). Устройства способны выдавать шум через подключенные к ним акустические излучатели. В настоящий момент существует большое количество предложений по системам акустической защиты. В третьей главе будут приведены к сравнению некоторые из них. Рис.13. Генератор акустического шумаРассмотрим рекомендации по применению средств пассивной защиты акустической конфиденциальной информации от её утечки по акустическому каналу.Исходя из того, что суть пассивного метода основана на поглощении, рассеивании или отражении сигнала, необходимо использовать материалы, обладающие этими свойствами. Им может быть любой неоднородный материал, способный увеличить звукоизоляцию. Лучшем и эффективным решением будет применить для отделки ограждающий конструкций – плиты из звукопоглощающего материала с обшивкой из гипсокартона (рис.14).Рис.14. Решение для звукоизоляции потолка2.3. Разработка организационных мероприятий по защите конфиденциальной информацииВ рамках бакалаврской работы при проведении организационных мероприятий по защите конфиденциальной информации от утечки по акустическому каналу, необходимо ссылаться на следующие рекомендации, собранные на основании СТР-К[3]:Переговоры в защищаемом помещении, с участием представителей сторонних организаций должно проводиться с разрешения директора, который, в свою очередь, назначает ответственного за проведение переговоров.Ответственное лицо, совместно с представителями службы безопасности и соответствующими техническими специалистами проводит необходимые организационные и технические мероприятия, направленные на обеспечение сохранения секретности обсуждаемых вопросов.Очередность рассмотрения вопросов, вынесенных на переговорах, должна исключать участие лиц, не имеющих отношение к рассматриваемым вопросам. Ответственное лицо должно составить проект программы проведения переговоров и список участников, в котором указывается фамилия, имя отчество, место работы, должность и вопросы, в обсуждении которых он может принимать участие.Участники пропускаются на переговоры по спискам при предъявлении документов, удостоверяющих личность.Меры при защите информации при проведении переговоров с участием представителей сторонних организаций направлены на подготовку соответствующего помещения и предотвращение утечки информации из него, с учетом особенностей проводимых переговоров.Целесообразно и обоснованно применение следующих организационных мер:Перед проведением переговоров необходимо проводить визуальный осмотр помещения на предмет выявления закладных устройств. Осмотр должен проводиться систематизировано и тщательно, обращая внимание на любую мелочь, на первый взгляд незначительную: наличие посторонних предметов, бытовой аппаратуры или предметов интерьера. Осмотр по возможности, должен проводиться сотрудником службы безопасности и человеком, хорошо знакомым с обычной обстановкой зала, например, сотрудником охраны;Непосредственно перед проведением переговоров охрана должна осматривать прилегающие к комнате для переговоров помещения, на предмет удаления из них сотрудников или посторонних лиц, которые могут вести подслушивание непосредственно через систему вентиляционных коммуникаций или через стену при помощи специальной аппаратуры; закрывать эти помещения на время проведения переговоров и вести контроль за доступом в них;Количество лиц, участвующих в конфиденциальных переговорах должно быть ограничено до минимума;Вход посторонних лиц во время проведения переговоров должен быть запрещен;Должна быть четко разработана охрана выделенного помещения во время проведения переговоров, а также наблюдение за обстановкой на этаже. Во время проведения закрытых переговоров необходимо не допускать близко к дверям комнаты никого из посторонних лиц или сотрудников организации. Стоя под дверью, или поблизости от нее, злоумышленник может подслушать то, о чем говориться в комнате. Особенно это вероятно в те моменты, когда кто-то входит или выходит из зала, так как на то время, пока дверь остается открытой, разборчивость речи резко повышается. Помимо этого, выходя или входя, человек может не совсем плотно закрыть за собой дверь, что также повысит разборчивость речи. Для реализации этой меры необходимо, чтобы в течение всего времени, которое длятся переговоры, у двери комнаты дежурил охранник, осуществляющий контроль над дверью и коридором около входа в комнату, а также следить за тем, чтобы никто из посторонних не проник внутрь. Для большей надежности, у дверей зала должен дежурить охранник из постоянного штата организации, так как подобное дежурство создает возможность подслушивания непосредственно охранником;По возможности проведение переговоров переносить на нерабочее время;  Любые работы в комнате, проводимые вне времени проведения конфиденциальных переговоров, например: уборка, ремонт бытовой техники, мелкий косметический ремонт, должен проводиться в обязательном присутствии сотрудника службы безопасности. Наличие этих сотрудников поможет обезопасить помещение от установки подслушивающих устройств сотрудниками организации или же посторонними лицами (электромонтёр, рабочие, уборщица и так далее);После проведения переговоров комната должна тщательно осматриваться, закрываться и опечатываться;Между переговорами комната должна быть закрыта и опечатана ответственным лицом. Ключи от комнаты должны быть переданы дежурной смене охраны под расписку и храниться в комнате охраны, доступ к ним должен быть регламентирован руководством.Перечисленные меры организационной защиты информации в комнате для переговоров считаются весьма действенными и не несут серьезных материальных затрат или проблем с персоналом и могут применяться как отдельно, так и совместно, что позволит значительно повысить степень защиты информации рассматриваемого объекта. Выводы по второй главеТаким образом, во второй главе были рассмотрены требования нормативно-правовых документов по защите речевой информации от утечки по техническим каналам.Исходя из полученных данных, в первой главе были разработаны рекомендации по повышению защищенности уязвимых ограждающих конструкций (в нашем случае потолочного перекрытия и входной двери) и инженерно-технических коммуникаций (системы вентиляции), путем применения средств активной и пассивной защиты.Так же были разработаны организационные мероприятия по защите помещения во время проведения переговоров.Глава 3. Разработка рекомендаций по внедрению и использованию предложенных решенийТехнико-экономическое обоснование выбора и применения технических средств защиты Обоснование выбора активных средств защитыДля того чтобы повысить защищенность переговорной комнаты от утечки конфиденциальной информации по акустическому каналу, потребуется специальное техническое оборудование и её монтаж. Существует множество всевозможных комплексов для обеспечения защищенности помещения, которые отличаются производителями, функциональностью и ценой. Рассмотрим и сравним комплекс «SEL SP-157G», комплекс «СТК» и комплекс «СОНАТА»[7].Кампания «Сюртель» является разработчиком системы защиты выделенных помещений от утечки по акустическому и вибрационному каналу «SEL SP-157G» (Ри.15). Система предназначена для защиты информации путём постановки акустических и вибрационных маскирующих помех предназначена для защиты речевой информации в помещениях от её утечки по техническим каналам.SEL SP-157 «Шагрень» полностью соответствует новым требованиям ФСТЭК России, вступившим в силу с 2015 года, и является активным средством виброакустической защиты типа "А" 1 класса, может устанавливаться в выделенных помещениях до 1 категории включительно.Рис.15. Внешний вид комплекса SEL SP-157GОсобенности системы:Предусмотрено как горизонтальное, так и вертикальное (настенное) размещение генератора;Жидкокристаллический двухстрочный экран;Защита паролем настроек системы;Отсчёт времени наработки генерации шума по каждому каналу с выводом на экран;Непрерывный контроль состояния системы и каждого отдельного излучателя;Возможность регулировки уровня шума каждого излучателя;Возможность дистанционного управления (проводного и по ИК-каналу);Акустические излучателей SEL SP–157AS: 100х70х35 мм / 0,25 кг.Наличие сертификатов:Сертификат соответствия ФСТЭК России №3382 (действителен до 2 апреля 2018г.)Сертификат соответствия техническим регламентам Таможенного союза № TC RU C-RU.ME06.B/01275.Необходимая конфигурация для обеспечения защиты исследуемого помещения от утечки конфиденциальной информации по акустическому каналуЦентральный генераторный блок помех SEL SP-157G – 29 900 руб.Акустический излучатель SEL SP-157AS (3 шт.) – 1 700 руб. (5 100 руб.)Фирма «ЦСТБИ» является разработчиком системы защиты выделенных помещений от утечки по акустическому и вибрационному каналу «СТБ 231 «Бирюза»» (Рис.16).Система предназначена для защиты акустической речевой информации, циркулирующей в выделенных помещениях до 1 категории включительно, от утечки по акустическому и виброакустическому каналам. Изделие обеспечивает защиту путем постановки широкополосной виброакустической помехи на потенциально опасные конструкции помещений. Предусмотрена возможность установки акустического излучателя для защиты воздуховодов и вентиляционных шахт.Рис.16. Внешний вид комплекса СТБ-231 «Бирюза»Основные особенности системы:Встроенный сертифицированный блок электропитания;Обеспечение электробезопасности:двойная изоляция тракта электропитания;двухполюсный выключатель электропитания;защита от скачков напряжения за счёт сменных предохранителей на каждый провод (заменяются без вскрытия корпуса).Наличие сертификатов:Сертификат соответствия ФСТЭК России №2432 (действителен до 14 сентября 2017г.);Сертификат ГОСТ Р №0185629 (действителен до 13 мая 2016г.);Экспертное заключение №77.01.09.П.006748.07.12 (действителен – постоянно).Необходимая конфигурация для обеспечения защиты исследуемого помещения от утечки конфиденциальной информации по акустическому каналуГенератор СТБ-231 Бирюза – 29 000 руб.Акустический излучатель СТБ-231АИ (3 шт.) – 2 400 руб. (7 200 руб.)Система акустической и виброакустической защиты "Соната-АВ" модели ЗМ, разработанная и производимая ЗАО «Анна», предназначена для защиты речевой информации, циркулирующей в выделенных помещениях до первой категории включительно, от утечки по акустическим и виброакустическим каналам, путем постановки помех в диапазоне частот 90 . . . 11200 Гц (рис.17).Рис.17.