Оценка защищённости помещения организации от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам

1  2

---

Содержание

 

Введение

ГЛАВА 1. Анализ основных аспектов информационной безопасности в ООО «ФастПроект»

1.1 Правовые основы защиты конфиденциальной информации

1.2 Анализ защищаемого помещения

1.3 Анализ потенциальных угроз и каналов утечки информации

1.3.1. Акустический канал утечки речевой информации

1.3.2. Виброакустический канал утечки речевой информации

1.3.3. Оптико-электронный канал утечки речевой информации

1.3.4. Акустоэлектрический и электромагнитный каналы утечки речевой информации

1.4 Описательная модель нарушителя

Выводы по первой главе

ГЛАВА 2. Оценка состояния защиты акустической информации при проведении совещаний

2.1 Организационные меры при проведении совещаний

2.2 Оценка защищенности защищаемого помещения от утечки речевой конфиденциальной информации

2.2.1 Оценка защищенности защищаемого помещения от утечки речевой конфиденциальной информации по акустическому каналу связи

2.2.2 Оценка защищенности защищаемого помещения от утечки речевой конфиденциальной информации по виброакустическому каналу связи

2.3 Технические меры по защите акустической информации в защищаемом помещении

Выводы по второй главе

ГЛАВА 3. Рекомендации по повышению уровня защищенности информации в защищаемом помещении

3.1 Перечень мероприятий по совершенствованию защиты информации в защищаемом помещении

3.2.1 Защита от утечки через прямой акустический канал

3.2.2 Защита от утечки по виброакустическому каналу

3.3 Экономическая оценка предложенной системы защиты

Выводы по третьей главе

Заключение

Список использованных источников

 

Введение

 

Вопросы, связанные с защитой информации существуют уже давно. Возникают ситуации, когда определенную информацию необходимо знать только определенному кругу лиц. И для обеспечения её сохранности прибегали к разнообразным способам защиты. Примерами таких способов можно назвать такие способы защиты как тайнопись или шифрование передаваемых сообщений.

Современный уровень высокой компьютеризации оказывает высокое влияние на быт и жизнедеятельность людей. Обеспечение информационной безопасности при обработке и передаче информации, а также контроль и управление различными объектами стало одной из важнейших проблем. К подобным объектам можно отнести системы связи, системы управления транспортом, и конечно системы хранения информации. Для правильного функционирования всех перечисленных систем необходимо обеспечивать безопасность и конфиденциальность хранимых в них данных.

Текущий уровень развития программного и аппаратного обеспечения персональных компьютеров сейчас находится на том уровне, когда выполнить реализацию простейшей компьютерной сети может рядовой пользователь. Но выполнить грамотный проект крупной локальной вычислительной сети может только специалист, чтобы избежать возможных проблем на этапах реализации и эксплуатации компьютерной сети.

Актуальность данной работы в том, что на текущий момент времени в любой организации обрабатывается самого различного рода, что, несомненно, приводит к необходимости обеспечения защиты данных, как при их обработке, так и при их передаче по каналам связи.

Предмет исследования – методы защиты информации. Объект исследования – реализация методов защиты информации от утечки по акустическому каналу в ООО «ФастПроект».

Цель данной работы – провести оценку защищённости переговорной комнаты ООО «ФастПроект» от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам и выработать рекомендации по модернизации системы защиты.

В ходе выполнения выпускной квалификационной работы необходимо выполнить следующие задачи:

• Изучить теоретические аспекты темы исследования;
• Проанализировать деятельность предприятия;
• Выполнить анализ существующей системы информационной безопасности;
• Описать основные аспекты модернизации механизмов защиты информации от утечки по акустическому и виброакустическому каналам в ООО «ФастПроект».

В первой главе рассмотрены правовые основы защиты конфиденциальной информации. Был проведен анализ предприятия и защищаемого помещения. Рассмотрены акустический каналы утечки речевой информации. Составлена модель нарушителя и выявлены возможные каналы утечки речевой информации.

Вторая глава посвящена проведению оценки защищенности от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам через входную дверь и систему отопления.

В третьем главе рассмотрены предложения по модернизации системы защиты информации в защищаемом помещении с помощью как активных, так и пассивных методов защиты. Были предложены меры защиты, наиболее подходящие для данной переговорной комнаты.

 

ГЛАВА 1.  Анализ основных аспектов информационной безопасности в ООО «ФастПроект»

1.1 Правовые основы защиты конфиденциальной информации

 

Конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

С развитием информационного общества проблемы, связанные с защитой конфиденциальной информации, приобретают всё большее значение. В настоящее время в российском законодательстве данные вопросы полно и системно не решены. Развернутая классификация конфиденциальной информации, приводится в перечне сведений конфиденциального характера, установленном Указом Президента РФ от 6 марта 1997 г. № 188.

К сведениям конфиденциального характера согласно Указа Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера», отнесены:

сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. При этом сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными;

сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20.08.2004 К» 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации;

служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с ГК РФ и федеральными законами (служебная тайна);

сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.);

сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с ГК РФ и федеральными законами (коммерческая тайна);

о сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

На основе перечня сведений, указанных выше в ООО «ФастПроект», составляется Перечень сведений, составляющих коммерческую/служебную тайну и конфиденциальную информацию (Приложение А). Данный Перечень дает полное и всестороннее перечисление сведений, на которые распространяется режим сохранности конфиденциальной информации в ООО «ФастПроект».

 

1.2 Анализ защищаемого помещения

 

ООО «ФастПроект» занимается инженерно-техническим проектированием, а в частности разработкой проектной, конструкторской и другой технической документации, предназначенной для осуществления строительства. А именно:

• Инженерно-техническое проектирование производственных и промышленных зданий и сооружений (ЛМК)
• Инженерно-техническое проектирование бытовых и хозяйственных зданий и сооружений (ЛМК)
• Инженерно-техническое проектирование бескаркасных арочных сооружений (рулонная сталь)
• Инженерно-техническое проектирование коммерческих, общественных и административных зданий (ЛМК)
• Инженерно-техническое проектирование как в комплексе услуг «под ключ», так и отдельно по частям проекта (конструктивным, архитектурным, инженерно-технического решениям)
• Анализ и разработка (доработка) чертежей, документации и обработка инженерных решений, внесение предложений или их изменение, с целью увеличения срока эксплуатации и уменьшения стоимости инженерного проекта.

ООО «ФастПроект» является арендатором третьего этажа трехэтажного здания. На первом и втором этажах находятся помещения, принадлежащие сторонней организации. Схема контролируемой зоны ООО «ФастПроект» представлена на рисунке 1.

Рис.1. Контролируемая зона ООО «ФастПроект»

В настоящий момент в ООО»ФастПроект» введены следующие меры, связанные с защитой информации на предприятии:

• введен пропускной режим на этаж, принадлежащий ООО «ФастПроект»;
• разработаны правила противопожарной безопасности, внедрены системы противопожарной безопасности;
• в должностных инструкциях сотрудников перечислены пункты, связанные с неразглашением корпоративной информации и тайны;
• внедрено положение о конфиденциальном документообороте;
• на рабочих местах сотрудников установлено антивирусное программное обеспечение;
• внедрено разграничение прав доступа и парольная защита учетных записей на контроллере домена.

В переговорной комнате осуществляются встречи с заказчиками, обсуждаются вопросы относительно проектной документации, проходят внутренние совещания между руководством и начальниками подразделений организации. В обработке в переговорной комнате участвует информация следующего вида:

• Сведения, получаемые от клиентов организации в отношении реализуемых проектов;
• Сведения, предоставляемые заказчикам по реализуемым проектам;
• Информация финансового характера, относительно стоимости реализуемых проектов;
• Сведения, содержащие коммерческую тайну в отношении финансовых планов функционирования компании, маркетинговых планов работы, информации по договорам, сведения о планируемой деятельности компании.

Указанные данные, содержатся в разработанном в организации Перечне сведений, составляющих коммерческую тайну, следовательно, являются конфиденциальной информацией и подлежат защите. Так же данная информация является речевой. Из этого следует, что есть потенциальная угроза утечки конфиденциальной информации по следующим техническим канал утечки речевой информации:

• Акустический канал
• Виброакустический канал
• Оптико-электронный канал
• Акустоэлектрический канал
• Электромагнитный канал

Для анализа актуальных угроз информационной безопасности необходимо привести подробное описание объекта защиты. В данной работе речь идет о защите комнаты для переговоров. Первоначально комната была аттестована в соответствии с «Положением по аттестации объектов информатизации по требованиям безопасности информации» и «ГОСТ РО 0043-003-2012 Аттестация объектов информатизации. Общие положения»

В результате выполнения ремонтных работ были заменены: входная дверь и батарея отопления. Исходя из данного факта возникла потребность в выполнении анализа текущего уровня защиты и выработки рекомендаций в случае выявления несоответствия.

План размещения переговорной комнаты на арендуемом этаже представлен на рисунке 2. На этаже ниже, под защищаемым помещением, расположен рабочий кабинет сторонней организации. Слева от переговорной комнаты находится кабинет генерального директора организации, справа – кабинет заместителя руководителя организации.

В переговорной комнате отсутствуют основные технические средства и системы (ОТСС).

Контролируемая зона ограждена ограждающими конструкциями кабинета руководителя предприятия и кабинета заместителя руководителя предприятия. Ограждающими конструкциями помещения являются пол, потолок, стены, окно и дверь. Потолок выполнен из железобетонной плиты толщиной 160 мм.

Пол выполнен аналогично из железобетонной плиты толщиной 160 мм, поверх которой постелен линолеум толщиной 20мм. Дверь в переговорную комнату — стандартное полотно из дерево-стружечной плиты толщиной 40 мм;

Рис.2. План размещения переговорной комнаты

Два окна в переговорной комнате расположены напротив входной двери. Окна имеют тройное остекленение. Стекла отделены от рамы резиновыми вибропоглощающими прокладками. На окнах установлены тканевые рулонные жалюзи.

Через переговорную комнату проходит система отопления, в состав которой входит два алюминиевых отопительных радиатора, а также полипропиленвоые трубы, проходящие сквозь переговорную комнату и выходящие за её пределы на первый этаж.

К вспомогательным средствам и системам относятся системы: пожарной сигнализации и оповещения о пожаре.

 

1.3 Анализ потенциальных угроз и каналов утечки информации

 

В зависимости от физической природы возникновения информационных сигналов, среды их распространения технические каналы утечки акустической (речевой) информации можно разделить на прямые акустические (воздушные), акустовибрационные (вибрационные), акустооптические (лазерные), акустоэлектрические.

 

1.3.1. Акустический канал утечки речевой информации

 

Несанкционированный доступ к конфиденциальной информации по акустическому каналу утечки может осуществляться путём:

• записи информации портативными средствами звукозаписи, скрытно установленными в защищаемом помещении;
• скрытой установки в защищаемом помещении закладных устройств с датчиками микрофонного типа, передающих информацию по радио, оптическим каналам, соединительным линиям вспомогательных средств сети электропитания напряжением 220 В, в телефонной или специально проложенным линиям;
• непреднамеренное подслушивание переговоров;
• прослушивания (записи) разговоров направленными микрофонами, установленными в ближайших строениях или транспортных средствах.

Действия со стороны злоумышленника по добыванию разведывательной информации может быть осуществлено непосредственным прослушиванием переговоров в защищаемом помещении:

• через дверь;
• через открытое окно (форточку);
• через стены, перегородки;
• через вентиляционные каналы.

Несанкционированный доступ к информации, циркулирующей в переговорной комнате во время проведения совещаний, злоумышленник может получить, используя технические средства, такие, как:

• направленные микрофоны;
• проводные микрофоны;
• радиомикрофоны;
• устройство «Электронное ухо».

Прослушивание переговоров через дверь возможно при условии, если вход в комнату для переговоров выполнен с нарушением требований по звукоизоляции. Не рекомендуется вести переговоры при открытых окнах. В таком случае непосредственный доступ к содержанию информации переговоров полностью открыт, невзирая на наличие звукоизоляции в помещении.

Если ограждающие конструкции (стены, перегородки, потолок и пол) комнаты для переговоров не проверены на предмет звукоизоляции и не отвечают требованиям нормативных документов, они так же могут быть потенциальными слабыми местами для утечки информации.

Вентиляционные каналы являются одними из самых опасных с точки зрения несанкционированного доступа к информации. Они могут быть использованы для прослушки переговоров в комнате на большом расстоянии (например, через этаж здания, или через несколько кабинетов). Поэтому к защите вентиляционных каналов предъявляются особые требования.

В качестве технических средств для прослушивания переговоров в основном используются направленные микрофоны. В зависимости от вида и модели микрофона и от помехозащитной обстановки расстояния прослушивания может достигать сотни метров.

Направленные микрофоны бывают нескольких видов, а именно:

• микрофоны с параболическим отражателем;
• резонансные микрофоны;
• щелевые микрофоны;
• лазерные микрофоны.
• проводные микрофоны.

Для прослушивания злоумышленники также используют и проводные микрофоны. В основном это микрофоны со специально проложенными проводами для передачи информации или микрофоны с возможностью передачи информации по линии сети в 220 В.

Так же для передачи конфиденциальной информации используются и другие виды коммуникаций (провода сигнализации, радиотрансляция и др.) Поэтому при проведение ремонтных работ этому следуют уделять особое внимание, так как существует возможность внедрения подслушивающих устройств, в том числе и с возможностью трансляции сигнала по радио каналу.

В последнее десятилетие злоумышленники стали применять устройства с использованием телефонных линий, позволяющие прослушивать разговоры в помещениях на значительном удалении (из других районов, городов и т.д.).

Такие устройства имеют название «Электронное ухо». Они также представляют большую угрозу для безопасности переговоров.

Согласно заключению, выданному компанией, проводившей аттестацию данного помещения, ограждающие конструкции, а именно стены, потолок и пол соответствуют нормам звукоизоляции, при этом из-за замены двери, имеется возможность утечки конфиденциальной информации путем непосредственного подслушивания через дверь, т.к. она, возможно, не обладает необходимыми звукоизоляционными свойствами. Таким образом утечка конфиденциальной информации по акустическому каналу из защищаемого помещения реальна и акустический канал является актуальным.

 

1.3.2. Виброакустический канал утечки речевой информации.

 

Воздействие акустических волн на поверхность твердого тела приводит к возникновению в нем вибрационных колебаний в результате виброакустического преобразования. Эти колебания, распространяющиеся в твердой среде, могут быть перехвачены специальными средствами разведки, а речевая информация, содержащаяся в акустическом поле, при определенных условиях может быть восстановлена. С этой целью используют устройства, преобразующие вибрационные колебания в электрические сигналы, соответствующие соответствующим звуковым частотам. Такие устройства называются вибродатчиками. Сигнал, снимаемый с выхода вибродатчика, после усиления может быть прослушан, зарегистрирован на магнитном или другом носителе, а также передан в пункт приема, находящийся на удалении от места прослушивания, по проводному, радио- или иному каналу передачи информации. Обобщенная структурная схема виброакустического канала утечки информации представлена на рисунке 3.

Рис. 3. Обобщенная структурная схема виброакустического канала утечки информации

Несанкционированный доступ к информации, циркулирующей в комнате совещаний, используя виброакустический канал, может быть осуществлен при помощи стетоскопов.

Стетоскопы позволяют провести прослушивание через стены толщиной до 1 м 20 см.

В зависимости от вида канала передачи информации от самого вибродатчика стетоскопы подразделяются на:

• проводные (проводной канал передачи);
• радио (канал передачи по радио);
• инфракрасные (инфракрасный канал передачи).

Согласно заключению, выданному компанией, проводившей аттестацию данного помещения, окна и ограждающие конструкции, а именно стены, потолок и пол обладают достаточной защищенностью от утечки по виброакустическому каналу. Система отопления, в связи с заменой, является потенциальным каналом утечки конфиденциальной информации. Следовательно, виброакустический канал является актуальным.

 

1.3.3. Оптико-электронный канал утечки речевой информации.

 

В случае, если переговоры ведутся в комнате, окна которой не оборудованы шторами или жалюзи, у злоумышленника есть возможность посредством облучения оконных стекол защищаемого помещения лазерными акустическими системами, установленными в ближайших строениях или транспортных средствах, зарегистрировать и распознать конфиденциальную информацию.

В соответствии с требованиями внутренних инструкций по ведению конфиденциальных переговоров, во время мероприятия окна должны быть закрыты шторами. Оптико-электронный канал является неактуальным.

 

1.3.4. Акустоэлектрический и электромагнитный каналы утечки речевой информации

 

Утечка конфиденциальной информации при ведении переговоров возможна из-за воздействия звуковых колебаний на элементы электрической схемы некоторых технических средств обработки информации.

К вспомогательным техническим средствам и системам относятся те, которые непосредственного участия в обработке конфиденциальной информации не принимают, но находятся в защищаемом помещении и могут быть причиной ее утечки. Примерами таких средств и систем могут быть системы оповещения о пожаре, некоторые типы датчиков охранно-пожарной сигнализации и др. Доступ к содержанию переговоров может быть осуществлен на значительном удалении от помещения, составляющем в некоторых случаях сотни метров.

Что касается телевизоров, то утечка конфиденциальной информации происходит здесь за счет имеющихся в них гетеродинов (генераторов частоты).

Причина утечки — модуляция звуковым колебанием при ведении разговора несущей частоты гетеродина, просачивание ее в систему с последующим излучением в виде электромагнитного поля.

В переговорной комнате присутствуют средства и системы охранно-пожарной сигнализации и оповещения о пожаре, которые относятся к вспомогательным. Однако, согласно отчету компании, которая проводила аттестацию помещения, данные вспомогательные средства отвечают нормам защищенности информации и не являются угрозой утечки акустической информации по акустоэлектрическому каналу.

Таблица 2 Оценка возможности утечки речевой конфиденциальной информации из переговорной комнаты

 

1.4 Описательная модель нарушителя

 

Под моделью нарушителя понимается совокупность количественных и качественных характеристик нарушителя, с учетом которых определяются требования к комплексу инженерно-технических средств охраны и/или его составным частям.

Составляющие модели нарушителя:

– категории нарушителя и его возможные тактические методы (внешние, внутренние, внешние в сговоре с внутренними);

– возможные действия нарушителя (применение силы, хищение, дезинформация и т.д.);

– причины и мотивы действий нарушителя (корысть, принуждение и т.д);

– возможности нарушителя (навык, опыт, количество, оснащенность-техника, оружие, транспорт).

«Внешний нарушитель» — нарушитель из числа лиц, не имеющих права доступа в охраняемые зоны;

«Внутренний нарушитель» — нарушитель из числа лиц, имеющих право доступа без сопровождения в охраняемые зоны;

«Внешняя угроза» — угроза, исходящая от внешнего нарушителя;

«Внутренняя угроза» — угроза, исходящая от внутреннего нарушителя.

Для описания моделей нарушителей в качестве критериев классификации рассматриваются:

Цели и задачи вероятного нарушителя:

• проникновение на охраняемый объект без причинения объекту видимого ущерба;
• причинение ущерба объекту;
• преднамеренное проникновение при отсутствии враждебных намерений;
• случайное проникновение.

Степень принадлежности вероятного нарушителя к объекту:

• вероятный нарушитель — сотрудник охраны;
• вероятный нарушитель — сотрудник учреждения;
• вероятный нарушитель — посетитель;
• вероятный нарушитель — постороннее лицо.

Степень осведомленности вероятного нарушителя об объекте:

• детальное знание объекта;
• осведомленность о назначении объекта, его внешних признаках и чертах;
• неосведомленный вероятный нарушитель.

Степень осведомленности нарушителя о системе охраны объекта:

• полная информация о системе охраны объекта;
• информация о системе охраны вообще и о системе охраны конкретного объекта охраны;
• информация о системе охраны вообще, но не о системе охраны конкретного объекта;
• неосведомленный вероятный нарушитель.

Степень профессиональной подготовленности вероятного нарушителя:

• специальная подготовка по преодолению систем охраны;
• вероятный нарушитель не имеет специальной подготовки по преодолению систем охраны.

Степень физической подготовленности вероятного нарушителя:

• специальная физическая подготовка;
• низкая физическая подготовка.

7. Владение вероятным нарушителем способами маскировки.
8. Степень технической оснащенности вероятного нарушителя.
9. Способ проникновения вероятного нарушителя на объект.

На основе изложенных критериев выделяют четыре категории нарушителя:

1) нарушитель первой категории — специально подготовленный по широкой программе, имеющий достаточный опыт нарушитель-профессионал с враждебными намерениями, обладающий специальными знаниями и средствами для преодоления различных систем защиты объектов;

2) нарушитель второй категории — непрофессиональный нарушитель с враждебными намерениями, действующий под руководством другого субъекта, имеющий определенную подготовку для проникновения на конкретный объект;

3) нарушитель третьей категории — нарушитель без враждебных намерений, совершающий нарушение безопасности объекта из любопытства или из каких-то иных личных намерений;

4) нарушитель четвертой категории — нарушитель без враждебных намерений, случайно нарушающий безопасность объекта.

Предполагаемый злоумышленник (нарушитель первой категории) – это человек подготовленный, знающий все каналы утечки информации в комнатах для ведения переговоров, профессионально владеющий способами и средствами добывания сведений, содержащих конфиденциальную информацию. В качестве данного нарушителя может выступать сотрудник сторонней организации.

Модель нарушителя и угроз позволяет сделать вывод о том, что акустический и виброакустический каналы являются наиболее опасными для утечки конфиденциальной информации, циркулирующей в переговорной комнате при проведении совещаний. Следовательно, в основу развития данной выпускной квалификационной работы войдёт анализ данных каналов утечки речевой конфиденциальной информации, а также методы и средства по уменьшению рисков, которые могут возникнуть вследствие утечки информации.

 

Выводы по первой главе

 

ООО «ФастПроект» занимается инженерно-техническим проектированием, а в частности разработкой проектной, конструкторской и другой технической документации, предназначенной для осуществления строительства. Соответственно, вся обрабатываемая информация для данной организации является ценной. Исходя из данного факта, в организации реализована система защиты информации, а помещения, в которых осуществляется обмен информацией конфиденциального характера, проходили специализированную аттестацию по отсутствию каналов утечки информации. В результате выполнения ремонтных работ в переговорной комнате была заменена дверь, а также проведена замена системы отопления. Данные факты изменили существующую ранее общую структуру переговорной комнаты, что могло повлиять на возникновение возможных каналов утечки информации по акустическому и виброакустическому каналу. На основании данного факта было принято решение о проведении подробного анализа защиты помещения, и выработке рекомендаций по её модернизации.

 

ГЛАВА 2. Оценка состояния защиты акустической информации при проведении совещания

 

Проанализировав основные и вспомогательные технические средства, и системы, находящиеся в защищаемом помещении, а также его конструктивные и архитектурные особенности, приступим к оценке защищённости ЗП от утечки по акустическому и виброакустическому каналам связи.

 

2.1 Организационные меры при проведении совещаний

 

Основные положения организационно-режимных мероприятий обеспечения конфиденциальности информации, циркулирующей в защищаемом помещении:

• совещание с участием представителей сторонних организаций должно проводиться с разрешения директора ООО «ФастПроект», который, в свою очередь, назначает ответственного за проведение совещания;
• ответственное лицо, совместно с представителями службы безопасности и соответствующими техническими специалистами проводит необходимые организационные и технические мероприятия, направленные на обеспечение сохранения конфиденциальности обсуждаемых вопросов;
• очерёдность рассмотрения вопросов, вынесенных на совещание, должна исключать участие лиц, не имеющих отношение к рассматриваемым вопросам (ответственное лицо должно составить проект программы совещания и список участников, в котором указывается фамилия, имя отчество, место работы, должность и вопросы, в обсуждении которых он может принимать участие);
• участники пропускаются на совещание по спискам при предъявлении документов, удостоверяющих личность;
• меры при защите информации при проведении совещаний с участием представителей сторонних организаций направлены на подготовку соответствующего помещения и предотвращение утечки информации из него, с учётом особенностей проводимого совещания.

Целесообразно и обоснованно применение следующих организационных мер:

• перед проведением совещания необходимо проводить визуальный осмотр помещения на предмет выявления закладных устройств. Осмотр должен проводиться систематизировано и тщательно, обращая внимание на любую мелочь, на первый взгляд незначительную: наличие посторонних предметов, бытовой аппаратуры или предметов интерьера. Осмотр по возможности, должен проводиться сотрудником службы безопасности и человеком, хорошо знакомым с обычной обстановкой помещения, например, сотрудником безопасности и режима;
• непосредственно перед проведением совещания, сотрудник безопасности и режима должен осматривать прилегающие к защищаемому помещению прилегающие помещения на предмет удаления из них сотрудников или посторонних лиц, которые могут вести подслушивание непосредственно через систему вентиляционных коммуникаций или через стену при помощи специальной аппаратуры; закрывать эти помещения на время проведения совещания и вести контроль за доступом в них;
• количество лиц, участвующих в конфиденциальных переговорах должно быть ограничено до минимума;
• вход посторонних лиц во время проведения совещания должен быть запрещён;
• должна быть чётко разработана охрана выделенного помещения во время совещания, а также наблюдение за обстановкой на этаже. Во время проведения закрытого совещания необходимо не допускать близко к дверям комнаты никого из посторонних лиц или сотрудников организации. Стоя под дверью, или поблизости от неё, злоумышленник может подслушать то, о чем говориться в комнате. Особенно это вероятно в те моменты, когда кто-то входит или выходит из зала, так как на то время, пока дверь остаётся открытой, разборчивость речи резко повышается. Помимо этого, выходя или входя, человек может не совсем плотно закрыть за собой дверь, что также повысит разборчивость речи. Для реализации этой меры необходимо, чтобы в течение всего времени, которое длится совещание, у двери комнаты дежурил охранник, осуществляющий контроль за дверью и коридором около входа в комнату, а также следить за тем, чтобы никто из посторонних не проник внутрь;
• Для большей надежности, у дверей зала должен дежурить охранник из постоянного штата организации, так как подобное дежурство создает возможность подслушивания непосредственно охранником;
• по возможности проведение совещаний переносить на нерабочее время;
• любые работы в комнате, проводимые вне времени проведения конфиденциальных совещаний, например, уборка, ремонт бытовой техники, мелкий косметический ремонт, должен проводиться в обязательном присутствии сотрудника службы безопасности. Наличие этих сотрудников поможет обезопасить помещение от установки подслушивающих устройств сотрудниками организации или же посторонними лицами (электромонтёр, рабочие, уборщица и так далее);
• после проведения совещания комната должна тщательно осматриваться, закрываться и опечатываться;
• между совещаниями комната должна быть закрыта и опечатана ответственным лицом. Ключи от комнаты должны быть переданы дежурной смене охраны под расписку и храниться в комнате охраны, доступ к ним должен быть регламентирован руководством.

Перечисленные меры организационной защиты информации в защищаемом помещении считаются весьма действенными и не несут серьезных материальных затрат или проблем с персоналом и могут применяться как отдельно, так и совместно, что позволит значительно повысить степень защиты информации рассматриваемого помещения.

 

2.2 Оценка защищенности защищаемого помещения от утечки речевой конфиденциальной информации

 

Оценка защищенности помещения состоит из четырёх этапов, приведенных ниже.

На первом этапе проводится осмотр защищаемого помещения на предмет наличия в ограждающих конструкциях и инженерно-технических сооружениях люков вентиляционных шахт, трубопроводов, акустических отверстий и т.п. Помимо осмотра защищаемого помещения необходимо произвести анализ прилегающих помещений. Результаты по данному этапу приведены в первой главе.

На втором этапе осуществляется выбор контрольных точек для размещения контрольно-измерительных приборов.

На третьем этапе проводится установка и коммутация комплекса контрольно-измерительных приборов и аппаратуры для проведения анализа тестового сигнала. Измерительная аппаратура собирается по блок-схеме, приведенной на рисунке 4.

Рис. 4. Блок-схема измерений: а) в помещении; б) вне помещения.

1 — генератор шума; 2 — октавные фильтры; 3 — усилитель мощности;

4 — акустические системы; 5 — измерительный микрофон; 6 — шумомер

На четвертом этапе выполняются измерение тестового сигнала и анализ (расчет) проведённых измерений.

В состав измерителя акустического и виброакустического сигнала необходима следующая аппаратура:

Для измерителя акустического сигнала:

• измерительный микрофон;
• микрофонный усилитель;
• измеритель шумов и вибраций.

Для измерителя виброакустического сигнала:

• измерительный вибродатчик с предусилителем;
• измеритель шумов и вибраций.

При измерениях в качестве тестового сигнала используют гармонические сигналы с частотами соответствующими среднегеометрическим частотам октавных полос: 250; 500; 1000; 2000; 4000 Гц и уровнями звукового давления, не менее типовых уровней (L) речевого сигнала в октавных полосах частотного диапазона речи, которые приведены в таблице 3.

Таблица 3 Типовые уровни речевого сигнала в октавных полосах частотного диапазона речи

Для уменьшения погрешностей измерения, вызываемых дифракционными волновыми акустическими процессами, дополнительно проводятся по три измерения на каждой из приведенных выше частот. Результирующее значение вычисляется как среднее арифметическое трех измерений.

Размещение измерительной аппаратуры зависит от характера ограждающей конструкции.

Размещение акустического излучателя:

• для ограждающей конструкции типа — стена, дверь, окно и т.п. акустический излучатель размещается на высоте 1-1,5м от пола и на расстоянии 1,5м от ограждающей конструкции. Ось апертуры акустического излучателя направляется в сторону ограждающей конструкции по нормали к ее поверхности;

Измерительный микрофон при измерении:

• уровня излучаемого тестового сигнала в защищаемом помещении размещается на осевой линии апертуры акустического излучателя на расстоянии 1 м от плоскости апертуры и на расстоянии 0,5м от поверхности ограждающей конструкции или элемента инженерно-технической системы;
• уровня акустического сигнала и акустического шума в контрольной точке размещается в выбранной точке контроля на расстоянии 0,5м от поверхности ограждающей конструкции,

Измерительный вибродатчик размещается в выбранной контрольной точке непосредственно на поверхности ограждающей конструкции или на контролируемом элементе инженерно-технической системы.

 

2.2.1 Оценка защищенности защищаемого помещения от утечки речевой конфиденциальной информации по акустическому каналу

 

При расчетах проводится сравнительный анализ полученных октавных коэффициентов звукоизоляции с их нормативными значениями и делается вывод о защищенности помещения от утечки речевой конфиденциальной информации по акустическому каналу. Результаты оформляются документально. Рекомендуемая форма протокола приведена в приложении1.

Проведение оценки защищенности ЗП от утечки по акустическому каналу предполагает изначально проверку соответствия установленным требованиям разности величин измеренного параметра акустической защищенности помещения и требуемого (Q_изм — Q_норм. (dB). Сущность проводимых расчетов заключается в уточнении значений акустического давления измеренного звукового сигнала в соответствии с приведенными ниже математическими выражениями.

Среднее значение величины акустического давления для контрольной точки на октавных полосах:

L_2ср= åF_i / n, при i = {1..n}

Уточнение значения акустического давления производится из условий следующей системы:

где величина D определяется из таблицы 4;

L_шум = 30 дБ.

Таблица 4

Таблица значений D

Параметр акустической защищенности в точках контролируемой зоны для каждой октавной полосы (250, 500, 1000, 2000, 4000Гц) вычисляется по формуле:

Q_изм.i = L_1сигн.i — L_2сигн.i

где: L_1сигн.i –акустическое давление внутри помещения;

L_2сигн.i — акустическое давление вне помещения в контрольной точке.

Выберем Q_нормi из таблицы 5 для условий, соответствующих реальным в данной работе (защищаемое помещение не оборудовано системами звукоусиления).

Таблица 5 Требования нормативных значений

Соответствие параметра акустической защищенности помещения установленным требованиям определяется по следующей системе:

Q_нормi= 46 дБ.

В качестве контрольной точки выбирается внешняя сторона входной двери в соответствии с определенным ранее размещением измерительной аппаратуры. Результаты расчёта приведены в таблице 6.

Таблица 6 Параметры для контрольной точки

Исходя из результатов таблицы 6, можно сделать вывод, что параметры не соответствуют установленным требованиям, значит, требуется предпринять меры по улучшению акустической защищенности элементов помещения и контролируемой зоны.

---

1  2