Матеріально-речові канали отримання інформації створюються через вивчення відходів виробничої діяльності (зіпсовані документи або їх фрагменти, чернетки різного роду поміток, записів, листів і т. д.), викрадення, несанкціоноване ознайомлення, копіювання, фотографування, відеозапис документів, креслень, планів, зразків технічних або програмних засобів.
Поряд з неправомірним отриманням інформації існують і інші загрози, які не передбачають отримання інформації, але, у свою чергу, не менш небезпечні. Серед них такі, як знищення і модифікація (зміна змісту) інформації. У цьому разі інформація хоч і не потрапляє до конкурентів чи злочинців, але її використання стає неможливим і самими власниками.
Слід зазначити, що до факторів, які створюють умови витоку (передання) інформації, за дослідженнями спецслужб, відносять такі:
Фактори | % |
Надмірна балакучість співробітників підприємств, фірм, банків | 32 |
Прагнення працівників підприємств, фірм, банків заробляти гроші будь-яким способом і будь-якою ціною | 24 |
Відсутність на підприємстві, фірмі, у банку системи заходів, спрямованих на захист інформації | 14 |
Звичка співробітників підприємств, фірм, банків ділитись один з одним почутими новинами, чутками, інформацією | 12 |
Безконтрольне використання інформаційних систем | 10 |
Наявність передумов для виникнення серед співробітників конфліктних ситуацій | 8 |
На підставі викладеного можна зробити висновок, що отримання інформації спецслужбами, конкурентами та зловмисниками здебільшого здійснюється через технічні засоби, які використовуються на фірмах, підприємствах, у банках, та через їхніх співробітників. Тобто в основу інформаційної безпеки має бути покладено заходи захисту інформації в засобах і мережах її передання та обробки, а також створення відповідної нормативної бази, яка б регулювала порядок доступу, зберігання і використання інформації фірми, банку, підприємства.
Заходи захисту інформації в засобах і мережах її передавання та обробки в основному передбачають використання апаратних, програмних та криптографічних засобів захисту. У свою чергу, апаратні засоби захисту (АЗЗ) застосовуються для вирішення таких завдань:
- перешкоджання візуальному спостереженню і дистанційному підслуховуванню;
- нейтралізація паразитних електромагнітних випромінювань і наводок;
- виявлення технічних засобів підслуховування і магнітного запису, несанкціоновано встановлених або таких, які принесено до установ фірми, підприємства, банку;
- захист інформації, що передається засобами зв’язку і міститься в системах автоматизованої обробки даних.
За своїм призначенням АЗЗ поділяються на засоби виявлення і засоби захисту від несанкціонованого доступу. Слід зазначити, що універсального засобу, який би давав змогу виконувати всі функції, немає, тому для виконання кожної функції, відповідно до виду засобів несанкціонованого доступу існують свої засоби пошуку та захисту. За таких умов заходи щодо протидії незаконному вилученню інформації за допомогою АЗЗ досить трудомісткі та дорогі і вимагають спеціальної підготовки фахівців безпеки.
На практиці всі заходи щодо використання АЗЗ поділяються на три групи: організаційні, організаційно-технічні, технічні.
Організаційні заходи апаратного захисту – це заходи обмежувального характеру, які передбачають регламентацію доступу і використання технічних засобів передавання і обробки інформації.
Організаційно-технічні заходи забезпечують блокування можливих каналів витоку інформації через технічні засоби забезпечення виробничої і трудової діяльності за допомогою спеціальних технічних засобів, які встановлюються на елементи конструкцій споруд і будівель, приміщень і технічних засобів, потенційно створюючи канали витоку інформації.
Технічні заходи – це заходи, які забезпечують використання в процесі виробничої діяльності спеціальних, захищених від побічних випромінювань технічних засобів передавання й обробки конфіденційної інформації.
Під програмними засобами захисту розуміють систему спеціальних програм, включених до складу програмного забезпечення комп’ютерів та інформаційних систем, які реалізують функції захисту конфіденційної інформації від неправомірних дій і програми їх обробки.
Програмні засоби забезпечують захист інформації від несанкціонованого доступу до неї, копіювання її або руйнування.
Під час захисту від несанкціонованого доступу (НСД) за допомогою програмних засобів здійснюється:
- ідентифікація об’єктів і суб’єктів;
- розмежування доступу до інформаційних ресурсів;
- контроль і реєстрація дій з інформацією і програмами.
Захист інформації від копіювання забезпечується виконанням таких функцій:
- ідентифікація середовища, з якого буде запускатись програма;
- аутентифікація середовища, із якого запущена програма;
- реакція на запуск із несанкціонованого середовища;
- реєстрація санкціонованого копіювання;
- протидія вивченню алгоритмів роботи системи.
Заходи захисту від руйнування інформації, враховуючи велику різноманітність причин руйнування (несанкціоновані дії, помилки програм і обладнання, комп’ютерні віруси та ін.), передбачають обов’язкові страхувальні дії, які спрямовані на попередження і профілактику можливих причин руйнування інформації. Програмні засоби захисту у таких випадках бувають як спеціалізованими, так і універсальними.
Під криптографічними заходами розуміють використання спеціальних пристроїв, програм, виконання відповідних дій, які роблять сигнал, що передається, абсолютно незрозумілим для сторонніх осіб. Тобто криптографічні заходи забезпечують такий захист інформації, за якого у разі перехоплення її і обробки будь-якими способами, вона може бути дешифрована тільки протягом часу, який потрібен їй для втрати своєї цінності. Для цього використовуються різноманітні спеціальні засоби шифрування документів, мови, телеграфних повідомлень.
2. Постановка задачі
Необхідно провести дослідження приміщення у Львівському державному інституті новітніх технологій та управління ім. В.Чорновола кабінету в якому проводяться переговори і робота з документами в твердому і електронному вигляді, дати оцінку захищеності об'єкту від витоку інформації по технічних каналах і сформувати рекомендації по захисту інформації на об'єкті.
Оскільки при роботі обробляється інформація, що носить конфіденційний характер (відомості про осіб, факти, події і інше, таке, що стосується фінансової діяльності підприємства), то можна зробити висновок про незаперечну необхідність побудови системи захисту даного приміщення.
На рисунках 3.1. і 3.2. арабськими цифрами позначені:
1 – дошка для написання;
2 – столи для засідання;
3 – робочі столи з комп’ютерами на них;
4 – крісло керівника;
5 – світч;
6 – радіатори системи опалювання;
7 – стільці для працівників;
Клас захищеності автоматизованої системи від несанкціонованого доступу до інформації згідно керівному документу Державної технічної комісії при Президенті України «Класифікація автоматизованих систем і вимог по захисту інформації»: 3Б.
2.1 Просторова і структурна моделі приміщення
Виділене приміщення знаходиться на четвертому поверсі будівлі. План приміщення представлений на рис. 3.1. Розміри приміщення: висота 3,5 метра, ширина 6 метрів, довжина 9 метрів. Приміщення знаходиться в межах контрольованої зони, відстань до межі якої не менше 40 метрів. Приміщення має одне вікно, яке виходить на внутрішню частину території. Двері виходять в коридор, в якому можуть знаходитися як працівники самої організації, так і сторонні люди.
Меблі кімнати складаються з шістнадцяти столів (один стіл керівника, чотири столи для переговорів і одинадцять столів для роботи), одинадцяти стільців і одного крісла. Так само в приміщенні знаходиться дошка для писання, світч, одинадцять комп'ютерів.
Таблиця 2.1 – Перелік меблів і побутових приладів, встановлених в
кабінеті
Найменування | Кількість, шт. | Обліковий номер |
Стіл робочий | 11 | 007-018 |
Крісло | 1 | 006 |
Стільці | 11 | 019-030 |
Стіл для нарад | 5 | 031-036 |
Комп’ютер | 11 | 037-048 |
Світч | 1 | 049 |
Дошка | 1 | 050 |
Всі стіни виконані з червоної цеглини загальною товщиною 200 мм лівої і правої стін і 400 мм стіна, що виходить в коридор і на вулицю. Всі три стіни обштукатурені і пофарбовані з обох боків. Приміщення обладнане трьома батареями опалення радіаторного типу. Притока води по батареях здійснюється з приміщення, розташованого над контрольованим приміщенням, а стік з батарей здійснюється по трубах в приміщення за стіною №2. Зліва від входу за стіною №1 знаходиться допоміжне приміщення, яке є власністю організації, але доступ в нього мають сторонні люди. За стіною №2 знаходиться праворуч від входу приміщення №404. Це приміщення, так само як і попереднє, належить організації. Там знаходиться аудиторія.