Устройство защиты цепей электросети и заземления SEL SP-44

 

Рисунок 3.21 - Устройство защиты цепей электросети и заземления SEL SP-44

 

Устройство защиты цепей электросети и заземления SEL SP-44 является техническим средством защиты информации, обрабатываемой на объектах вычислительной техники 1, 2 и 3 категории, от утeчки за счёт наводок по цепям электропитания и заземления путём постановки маскирующих помех в цепях электропитания и заземления в диапазоне частот 0,01 - 300 МГц и может устанавливаться в выделенных помещениях до 1 категории включительно без применения дополнительных мер защиты.

SEL SP-44 представляет собой генератор регулируемого шума по электросети и является техническим средством активной защиты от утечки информации по сети электропитания и подавления устройств несанкционированного съёма информации, использующих электросеть в качестве канала передачи [35].

Отличительные особенности:

- Основные узлы прибора - формирователи шума, регуляторы уровня и выходные усилители - представляют собой полностью цифровые устройства. Это позволяет при сохранении высокого коэффициента качества шумового сигнала полностью исключить утечку информации за счет самовозбуждения, паразитной генерации и модуляции опасным речевым сигналом, а также за счет электрических сигналов, вызванных электроакустическими преобразованиями в элементах схемы, и их утечки по цепям питания.

- Наличие независимых регуляторов уровня для низкочастотного и высокочастотного диапазонов позволяет оптимизировать спектр помехи по электромагнитной совместимости при сохранении достаточной эффективности маскировки.

- Устройство имеет высший класс устойчивости к импульсным помехам и допускает длительную работу в условиях эквивалентного короткого замыкания. Применение ключевых выходных усилителей существенно повышает экономичность, надежность и стабильность параметров изделия, позволяет эксплуатировать его в более жестких климатических условиях.

- Во время работы прибор постоянно осуществляет самотестирование, и в случае неисправности выдаёт звуковой и световой сигнал.

Управление включением помехи может осуществляться с панели управления или дистанционно.

К тому же иметься:

Сертификат соответствия ФСТЭК No 1445, действительный до 10.08.2013.

Санитарно-эпидемиологическое заключение.

Сертификат ГОСТ Р No РОСС RU.ME06.H00348.
Награды:

Диплом и медаль I степени XII Международного форума "Технологии безопасности-2007"

Диплом и медаль "Гарантия качества и безопасности" международного конкурса "Национальная безопасность"

3.3.3 Выбор программных средств защиты

Класс защищенности:

Согласно руководящему документу РД " Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации " АС относиться к первой группе и классу 1Г, необходимо повысить класс до 1В с помощью программного обеспечения Sercret Net 6.5.

МЭ согласно РД "Средства вычислительной техники. Межсетевые экраны Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации " полностью соответствует нужному классу (3 класс).

СВТ на данный момент имеет 5 класс защищенности, для надёжной работы КСЗИ необходимо повысить до 2 класса. Для этого установим Secret Net 6.5.

АВС имеет класс А3, который соответствует необходимым требованиям.

 

В качестве дополнения к уже существующим средствам в мед. учреждении будет добавлено следующее программное обеспечение:

Secret Net 6.5

Secret Net позволяеет привести автоматизированную систему в соответствие требованиям регулирующих документов по защите конфиденциальной информации, персональных данных.

 

Рисунок 3.22 - ключевые возможности SecretNet

Варианты развертывания Secret Net:

Будет выбран автономный вариант - предназначенный для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.

Назначение СЗИ Secret Net
Сертифицированное средство защиты информации от несанкционированного доступа на рабочих станциях и серверах.
СЗИ Secret Net предназначено для защиты информации, составляющей коммерческую или государственную тайну или относящейся к персональным данным. Является эффективным средством защиты от внутренних (инсайдерских) угроз, может применяться как на автономных станциях, так и в информационных сетях.

Данное программное обеспечение поможет разграничить необходимый требуемый доступ во внутренней локальной вычислительной сети мед. учреждения. Права доступа будут назначаться на уже имеющийся в компании файловый сервер.

Данное программное обеспечение необходимо установить на все персональные компьютеры находящиеся в мед. учреждении.

 

3.4 Введение в эксплуатацию системы защиты информации

 

Введение в эксплуатацию системы защиты информации подразумевает выполнение мероприятий по защите информации, предусмотренных техническим проектом. К работам по монтажу технических средств обработки информации, вспомогательных технических средств, а также проведения технических мероприятий по защите информации должны привлекаться организации, имеющие лицензию ФСТЭК РФ.

Монтажной организацией или заказчиком проводятся закупка сертифицированных ТСОИ и специальная проверка не сертифицированных ТСОИ на предмет обнаружения возможно внедренных в них электронных устройств перехвата информации (“закладок”) и их специальные исследования.

По результатам специальных исследований ТСОИ уточняются мероприятия по защите информации. В случае необходимости вносятся соответствующие изменения в технический проект, которые согласовываются с проектной организацией и заказчиком.

Проводятся закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка в соответствии с техническим проектом.

Службой (специалистом) безопасности организуется контроль проведения всех мероприятий по защите информации, предусмотренных техническим проектом.

В период установки и монтажа ТСОИ и средств защиты информации особое внимание должно уделяться обеспечению режима и охране защищаемого объекта.

К некоторым мероприятиям по организации контроля в этот период можно отнести [36]:

- перед монтажом необходимо обеспечить скрытную проверку всех монтируемых конструкций, особенно установочного оборудования, на наличие разного рода меток и отличий их друг от друга, а также закладных устройств;

- необходимо организовать периодический осмотр зон выделенных помещений в вечернее или в нерабочее время при отсутствии в нем строителей в целях выявления подозрительных участков и мест;

- организовать контроль за ходом всех видов строительных работ на территории и в здании. Основная функция контроля заключается в подтверждении правильности технологии строительно-монтажных работ и соответствия их техническому проекту;

- организовать осмотр мест и участков конструкций, которые по технологии подлежат закрытию другими конструкциями. Такой контроль может быть организован легально под легендой необходимости проверки качества монтажа и материалов или скрытно;

- необходимо тщательно проверять соответствие монтажных схем и количество прокладываемых проводов техническому проекту. Особое внимание необходимо уделять этапу ввода проводных коммуникаций и кабелей в зону выделенных помещений. Все прокладываемые резервные провода и кабели необходимо нанести на план-схему с указанием мест их начала и окончания.

Перед установкой в выделенные помещения и на объекты информатизации мебели и предметов интерьера технические устройства и средства оргтехники должны проверяться на отсутствие закладных устройств. Одновременно целесообразно провести проверку технических средств на уровни побочных электромагнитных излучений. Такую проверку целесообразно проводить в специально оборудованном помещении или на промежуточном складе [36].

После установки и монтажа технических средств защиты информации проводится их опытная эксплуатация в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации.

По результатам опытной эксплуатации проводятся приемо-сдаточные испытания средств защиты информации с оформлением соответствующего акта.

По завершении ввода в эксплуатацию СЗИ проводится аттестация объектов информатизации и выделенных помещений по требованиям безопасности. Она является процедурой официального подтверждения эффективности комплекса реализованных на объекте мер и средств защиты информации.

При необходимости по решению руководителя организации могут быть проведены работы по поиску электронных устройств съема информации (“закладных устройств”), возможно внедренных в выделенные помещения, осуществляемые организациями, имеющими соответствующие лицензии ФСБ России.

В период эксплуатации периодически должны проводиться специальные обследования и проверки выделенных помещений и объектов информатизации. Специальные обследования должны проводиться под легендой для сотрудников организации или в их отсутствие (допускается присутствие ограниченного круга лиц из числа руководителей организации и сотрудников службы безопасности) [36].

 

4. Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования

Для решения задачи по анализу эффективности комплексной системы безопасности информации разработанной для мед. учреждении, воспользуемся известным методом CRAMM.
Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.

Для оценки угроз выбраны следующие косвенные факторы:

• Статистика по зарегистрированным инцидентам.
• Тенденции в статистке по подобным нарушениям.
• Наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей.
• Моральные качества персонала.
• Возможность извлечь выгоду из изменения обрабатываемой в системе информации.
• Наличие альтернативных способов доступа к информации.
• Статистика по подобным нарушениям в других информационных системах организации.

Для оценки уязвимостей выбраны следующие косвенные факторы:

• Количество рабочих мест (пользователей) в системе.
• Размер рабочих групп.
• Осведомленность руководства о действиях сотрудников (разные аспекты).
• Характер используемого на рабочих местах оборудования и ПО.
• Полномочия пользователей.
• По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые «стоят» определенное количество баллов.

Итоговая оценка угрозы и уязвимости определяется путем суммирования баллов.
Несомненным достоинством данного подхода является возможность учета множества косвенных факторов (не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки.

 

 

Оценка уязвимости

Таблица 4 - Оценка уязвимостей

1.Сколько людей имеют право пользоваться информационной системой?
Варианты ответа	Количество баллов
a	От 1 до 10
b	От 11 до 50
c	От 51 до 200
d	От 200 до 1000
e	Свыше 1000
2. Будет ли руководство осведомлено о том, что люди, работающие под их началом, ведут себя необычным образом?
a	Да
b	Нет
3. Какие устройства и программы доступны пользователям?
a	Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных
b	Только стандартное офисные устройства и программы и управляемые с помощью меню подчиненные прикладные программы
c	Пользователи могут получить доступ к операционной системе, но не к компиляторам
d	Пользователи могут получить доступ к компиляторам
4. Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе?
a	Да
b	Нет
5. Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе?
a	Менее 10 человек
b	От 11 до 20 человек
c	Свыше 20 человек
6. Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)?

 

Продолжение Таблицы 3

a	Да
b	Нет
7. Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных?
a	Официальное право предоставлено всем пользователям
b	Официальное право предоставлено только некоторым пользователям
8.Насколько необходимо пользователям знать всю информацию, хранящуюся в системе?
a	Всем пользователям необходимо знать всю информацию
b	Отдельным пользователям необходимо знать лишь относящуюся к ним информацию

 

 

Таблица 5 - Степень уязвимости при количестве полученных баллов

Степень уязвимости при количестве баллов:
До 9	Низкая
От 10 до 19	Средняя
20 и более	Высокая

 

Таблица 6 - Полученные результаты (до разработки КСЗИ)

Варианты Ответов до разработки КСЗИ:
Номер вопроса	Вариант ответа	Кол-во Баллов
	b
	b
	a
	a
	c
	a
	b
	b
Сумма баллов

 

Так как сумма баллов 34, следовательно, степень уязвимости до разработки комплексной системы защиты информации является Высокой. Отсюда делаем вывод, что требуется незамедлительное улучшение и доработка СКЗИ.

Таблица 7 - Полученные результаты (после разработки КСЗИ)

Варианты Ответов до разработки КСЗИ:
Номер вопроса	Вариант ответа	Кол-во Баллов
Сумма баллов

 

Так как сумма баллов 29, следовательно, степень уязвимости комплексной системы защиты информации является Высокой.

 

 

7 Безопасность жизнедеятельности

 

Безопасность жизнедеятельности (БЖД) - это комплекс мероприятий, направлен­ных на обеспечение безопасности человека в среде обитания, сохранение его здо­ровья, раз­работку методов и средств защиты путем снижения влияния вредных и опас­ных фак­торов до допустимых значений, выработку мер по ограничению ущерба в лик­видации по­следствий чрезвычайных ситуаций мирного и военного времени.

Цель и содержание БЖД:

- обнаружение и изучение факторов окружающей среды, отрицательно влияющих на здоровье человека;

- ослабление действия этих факторов до безопасных пределов или исключение их если это возможно;

- ликвидация последствий катастроф и стихийных бедствий.

Охрана здоровья трудящихся, обеспечение безопасности условий труда, ликвида­ция профессиональных заболеваний и производственного травматизма составляет од­ну из главных забот человеческого общества. Обращается внимание на необходимость широ­кого применения прогрессивных форм научной организации труда, сведения к миниму­му ручного, малоквалифицированного труда, создания обстановки, исключаю­щей про­фессиональные заболевания и производственный травматизм.

На рабочем месте должны быть предусмотрены меры защиты от возможного воз­действия опасных и вредных факторов производства. Уровни этих факторов не дол­жны превышать предельных значений, оговоренных правовыми, техническими и са­нитарно-техническими нормами. Эти нормативные документы обязывают к созданию на рабочем месте условий труда, при которых влияние опасных и вредных факторов на работающих либо устранено совсем, либо находится в допустимых пределах.

Данный раздел дипломного проекта посвящен рассмотрению следующих вопросов:

- Расчет уровня шума.

- Условия труда сотрудников медицинского учреждения

- Требования к помещениям

- Эргономические требования к рабочему месту

- Режим труда

- Расчет освещенности

7.1 Характеристика условий труда сотрудника мед. учренждения

 

Научно-технический прогресс внес серьезные изменения в условия производствен­ной деятельности работников умственного труда. Их труд стал более интенсивным, напря­женным, требующим значительных затрат умственной, эмоциональной и физи­ческой энергии. Это потребовало комплексного решения проблем эргономики, ги­ги­ены и ор­ганизации труда, регламентации режимов труда и отдыха.

В настоящее время компьютерная техника широко применяется во всех областях дея­тельности человека. При работе с ком­пьютером человек подвергается воздействию ряда опасных и вредных производственных факторов: электромагнитных полей (диа­пазон ра­диочастот: ВЧ, УВЧ и СВЧ), инфракрасного и ионизирующего излучений, шума и виб­рации, статического электричества и др.

Работа с компьютером характеризуется значительным умственным напряжением и нервно-эмоциональной нагрузкой операторов, высокой напряженностью зрительной ра­боты и достаточно большой нагрузкой на мышцы рук при работе с клавиатурой ЭВМ. Большое значение имеет рациональная конструкция и расположение элементов рабоче­го места, что важно для поддержания оптимальной рабочей позы человека-опе­ратора.

В процессе работы с компьютером необходимо соблюдать правильный режим тру­да и отдыха. В противном случае у персонала отмечаются значительное напряже­ние зритель­ного аппарата с появлением жалоб на неудовлетворенность работой, го­ловные боли, раздражительность, нарушение сна, усталость и болезненные ощущения в гла­зах, в по­яснице, в области шеи и руках.

 

 

7.2 Требования к помещениям