4 Разработка мероприятий по защите информации на данном объекте
Итак, для того, чтобы исключить утечку информации при помощи физического доступа в контролируемые зоны – необходимо разработать организационные правила, ограничивающие и регулирующие доступ персонала, а так же посторонних лиц в кабинеты, где хранится информация для служебного пользования.
Для того, чтобы ограничить и урегулировать физический доступ в кабинеты ректора, отдела кадров и бухгалтерии нужно:
Нанять охранника в коридор, в который выходят двери указанных кабинетов для контроля доступа персонала, а так же посторонних лиц;
Установить контрольно-пропускной режим на данном участке коридора с индивидуальными пропусками в указанные кабинеты, подтверждающие личность работника университета;
Обслуживающий персонал (уборщица, или наемные работники со стороны) должны так же предъявлять пропуск, который работники обслуживания могут получить на вахте университета, указав свои паспортные данные, предприятие-исполнитель, юридический адрес предприятия и контактные данные. Местный обслуживающий персонал должен выполнять свою работу так же под контролем работников кабинета, или же охранника. Это нужно для исключения возможности установления закладок в помещении.
Для того, чтобы уменьшить вероятность физического проникновения во все контролируемые зоны с улицы (через окно), нужно просто оборудовать оконные проемы металлической решеткой.
В зале для совещаний не хранится никакой конфиденциальной информации, поэтому достаточной защитой этого кабинета будет являться контроль доступа к ключам от дверей зала для совещаний, которые должны выдаваться только работникам университета (исключая обслуживающий персонал). Двери зала для совещаний должны быть открыты только во время совещаний. Доступ обслуживающего персонала, в том числе и постороннего, осуществляется по правилам доступа обслуживающего персонала в кабинеты ректора, отдела кадров и бухгалтерии. Единственным отличием будет то, что контроль работы обслуживающего персонала будет осуществляться заведующим хозяйством университета. Это нужно для исключения возможности установления закладок в помещении.
Технические меры предусматривают применение способов и средств, препятствующих утечке информации за пределы контролируемой зоны. Цена этих средств не должна превышать стоимость информации.
Для того чтобы уменьшить пропускную способность каналов утечки информации, применяем средства активной (создание помех) и пассивной (ослабление уровня информативного сигнала) защиты.
Пусть
- пропускная способность канала утечки
информации без средств защиты, а
- пропускная способность со средствами
защиты, которые обеспечивают экранировку
или зашумление на величину
.
Отсюда относительное уменьшение
пропускной способности:
(1)
Для каждого значения
среднего динамического диапазона из
таблиц 10-11 рассчитаем уровень зашумления
или экранировки
используя формулу 3 для определения
,
получаем значение
:
В = 10lg(100000/(10^(0.1*lg(100000))
При q0
= 40 дБ
=
38,2;
При q0 = 30 дБ = 30,02;
При q0 = 20 дБ = 22,32;
При q0 = 10 дБ = 15,67.
Рассчитаем общие экономические потери П для угроз из таблиц 10-11 по формуле:
(2)
где k – номер угрозы;
N – общее число угроз;
Bk – стоимость средства защиты;
Zk – стоимость информации;
Ψk – функция равная 1 при защите от угрозы и 0 при отсутствии противодействия.
Для угроз с малым коэффициентом опасности α < 0,0001 примем Ψk = 0, для остальных Ψk = 1. Угроз с малым коэффициентом α в университете нет, поэтому необходимо установить средства защиты от всех выявленных угроз.
В итоге по формуле 2 получим:
рублей.
Сумма потерь П университета на защиту меньше убытков злоумышленника при попытке провести хищение информации.
Сумма потерь П
посчитана для эффективности Q
= 100%, но т.к все документы и данные банка
являются информацией для служебного
пользования, то согласно таблице 1
необходимо обеспечить как минимум Q
= 90%. Для этого заполним таблицу 10, в
которой ранговый коэффициент
,
.
Таблица 10 – Результаты расчета рангового коэффициента
Код средства защиты |
Вид противодействия |
Виды угроз |
B, руб. |
α |
β |
η |
Общий ранг |
П1 |
Применение электромагнитной экранировки и зашумления помещений |
Sp1 Sp2 S1 S2 S5 |
280000 |
80,11 238,3 0,08 0,51 138,41 |
8,58 12,77 0,36 1,09 14,83 |
687,3 3043 0,0288 0,5559 2052 |
3043 |
П2 |
Зашумление естественных звуководов |
Sp3 |
21000 |
257,88 |
147,35 |
38000 |
38000 |
П3 |
Зашумление стен |
Sp4 |
105000 |
95,57 |
27,3 |
2610 |
2610 |
П4 |
Зашумление труб системы отопления |
Sp5 |
21000 |
63,53 |
90,76 |
5766 |
5766 |
П5 |
Применение магнитомеров (обнаружение диктофонов) |
Sp6 |
52500 |
29,04 |
24,9 |
722,9 |
722,9 |
П6 |
Повышение звукоизоляции окон и дверей |
Sp7 |
35000 |
10,14 |
17,38 |
176,2 |
176,2 |
П7 |
Использование специальных жалюзи и штор |
Sp8 Sp9 Sp10 S4 |
17500 |
13,12 0,49 19,51 40,3 |
135 83,76 167,25 691 |
1771,2 41,04 3263 27847 |
27847 |
П8 |
Специальный осмотр телефонных аппаратов и фильтры в телефонных сетях |
Sp11 Sp12 |
8750 |
616,41 229,74 |
422,69 315,07 |
260550 72384 |
260550 |
П9 |
Применение специальных переговорных устройств |
Sp14 |
35000 |
30,58 |
131,03 |
4007 |
4007 |
П10 |
Применение фильтра или зашумления в электросети |
Sp13 S1 |
10500 |
382,2 0,08 |
436,8 9,54 |
166947 0,76 |
166947 |
Распределим средства защиты в порядке убывания общего ранга из таблицы 10, рассчитаем рост эффективности Q и построим таблицу 11.Эффективность Q высчитывается по формуле:
. (3)
Таблица 11 – Ранжированные противодействия угрозам.
№ |
Код средства защиты |
Виды угроз |
Ранг ηо |
Стоимость противодействия, руб. |
Нарастание затрат, руб. |
Рост эффективности Q, % |
1 |
П8 |
Sp11, Sp12 |
260550 |
8750 |
8750 |
34 |
2 |
П10 |
Sp13, S1 |
166947 |
10500 |
19250 |
60 |
3 |
П2 |
Sp3 |
38000 |
21000 |
40250 |
72 |
4 |
П7 |
Sp8, Sp9, Sp10, S4 |
27847 |
17500 |
57750 |
79 |
5 |
П4 |
Sp5 |
5766 |
21000 |
78750 |
81 |
6 |
П9 |
Sp14 |
4007 |
35000 |
113750 |
83 |
7 |
П1 |
Sp1, Sp2, S1, S2, S5 |
3043 |
280000 |
393750 |
95,3 |
8 |
П3 |
Sp4 |
2610 |
105000 |
498750 |
99,3 |
9 |
П5 |
Sp6 |
722,9 |
52500 |
551250 |
99,9 |
10 |
П6 |
Sp7 |
176,2 |
35000 |
586250 |
100 |
Таким образом, для обеспечения безопасности информации с эффективностью более 90% необходима сумма затрат на средства защиты как минимум 393750 рублей.
Приведем список инженерно-технических средств, обеспечивающих допустимый уровень защиты информации (Q = 90%):
- Электромагнитная экранировка и зашумление помещений;
- зашумление естественных звуководов;
- зашумление труб системы отопления;
- использование специальных жалюзи и штор;
- специальный осмотр телефонных аппаратов и фильтры в телефонных сетях;
- применение (при необходимости) специальных переговорных устройств;
- применение фильтра в электросети.