Противодействие многофункциональным гаджетам в компании infoCentre, как средствам промышленного шпионажа.

ФГБОУ ВО «СГЭУ» 

Кафедра прикладной информатики и информационной безопасности

Курсовой проект

по дисциплине: «Информационная безопасность корпоративных автоматизированных информационных систем»

Тема:

«Противодействие многофункциональным гаджетам в компании «infoCentre», как средствам промышленного шпионажа».

Выполнила:

Студентка 3 курса

дневной формы обучения,

направление «Информационная безопасность»,

профиль «Организация и технология защиты информации»

Субботина Анастасия Владимировна

Проверил:

преподаватель кафедры ПИиИБ

Чаплыгин С.И.

Самара

 2016

Введение

 В настоящее время любой бизнесмен, независимо от величины его работающих активов, окружен различными факторами риска, способными в один момент превратить в ничто его материальные и финансовые ресурсы. Если проанализировать причины падения результативности предпринимательства в России, то большинство из них можно свести к одному - это неумение, а порой и просто нежелание заниматься обработкой и анализом имеющейся информации об окружающей его, часто агрессивной, среде. К сожалению, этот факт только начинает привлекать внимание отечественных бизнесменов, и мало кто из них может определить тип необходимой для его предприятия информации, квалифицированно организовать ее поиск, пополнение, хранение, систематизацию, избежать дезинформирования, умело использовать информацию при принятии решения и организовать текущий контроль предпринимательского проекта.

В связи с этим актуальным сегодня является создание системы экономической разведки о рынках сбыта, конкурентах, партнерах, контрагентах, новых технологиях, законодательных актах и т.д., и кроме того - знание применяемых в бизнесе способов поиска, получения, использования информации, а также применяемых видов обмана и мошенничества с помощью различных многофункциональных гаджетов.

Жесточайшая конкурентная борьба за рынки сбыта продукции, сферы приложения капиталов и стремление к получению максимальных прибылей вынуждают руководство крупных корпораций внимательно следить за деятельностью своих конкурентов. При этом может применяться как экономическая разведка, так и промышленный шпионаж.

Целью данной работы является рассмотреть задачи, объекты и методы промышленного шпионажа с помощью различных гаджетов, обосновать необходимость проведения контрразведывательной деятельности и разработать систему безопасности для организации.

ГЛАВА 1. ОПИСАНИЕ ПРЕДМЕТНОЙ ОБЛАСТИ КУРСОВОГО ПРОЕКА ПО НАПРАВЛЕНИЮ ИССЛЕДОВАНИЯ 1.1.Описание предметной области объекта защиты 1.1.1.Описание объекта защиты

OAO «infoCentre» представляет собой организацию, имеющее в собственности помещение в размере 250м² . Это помещение подразделяется на торговый зал (80м²), склад (45м²), офисные помещения для сотрудников (90м²), санузел (20м²), столовая(15м²). Центральный офис фирмы расположен в г.Самара на ул. Льва Толстого 127, на первом этаже пятиэтажного здания.

С северной стороны здания находится «Городская поликлиника № 13,  Поликлиническое отделение № 2». С западной стороны находятся жилые, а также хозяйственные корпуса. С южной стороны находится также жилой пятиэтажный дом. С восточной стороны расположена гостиница «Hampton BY Hilton Samara».

Также вблизи объекта защиты проходят подземные водо- и теплопровода.

Офисное здание построено из пеноблоков, наружные стены толщиной 1600 мм, внутренние из пеноблоков – 400 мм, гипсокартонные – 300 мм. Все окна пластиковые с двойным стеклопакетом. Входная дверь в офисное здание металлическая, двери в кабинеты – из ПВХ.

Объект оснащен всеми инженерными системами: отопление, холодного и горячего водоснабжение, вентиляция и кондиционирование воздуха, автоматическая пожарная сигнализация, тревожная сигнализация.

Освещение объекта электрическое. Провода электроснабжения проложены по стенам в пластиковых кабель-каналах, за подвесными потолками в пластиковых трубах. Система гарантированного электропитания на объекте присутствует. Высота потолков 3 метра.

Охрана офисной части помещения осуществляется силами службы безопасности посредством пропускной системы.

1.1.2. Определение инженерно-технической укреплённости объекта защиты

Для определения уровня защиты объекта необходимо определить категорию важности объекта и модель нарушителя, от проникновения которого данный объект должен быть защищен.

Категорирование важности объектов необходимо лишь для приближенной оценки возможных затрат на их оснащение средствами защиты информации.

Второй аспект, влияющий на уровень затрат – это модель нарушителя. Чем выше должностной статус злоумышленника, работающего на охраняемом объекте, тем выше будут затраты на создание эффективной системы безопасности.

Категория важности объекта защиты определяется РД 78.36.003-2002, согласно с которым все объекты, их помещения и территории подразделяются на две группы (категории): А и Б. Ввиду большого разнообразия разнородных объектов в каждой группе, они дополнительно подразделяются на две подгруппы каждая: АI и АII, БI и БII.

Объект защиты относится к подгруппе БII. Согласно которой  строительные конструкции должны соответствовать первому классу защищённости (минимально необходимая степень защиты объекта от проникновения), дверные конструкции -  второму классу защищённости (средняя степень защиты объекта от проникновения), оконные конструкции – третьему классу защищённости (высокая степень защиты объекта от проникновения), запирающие устройства – второму классу защищённости (средняя степень защиты объекта от проникновения).

В защищаемом помещении конфиденциальная информация обрабатывается на ПЭВМ, а также хранится в сейфе на материальном носителе (бумаге). Следовательно, помещение относится ко второй категории защищенности: к помещениям, где размещены ценные и важные товары, предметы и изделия, утрата которых может привести к значительному материальному и финансовому ущербу.

1.1.3. Определение аппаратно-программной укреплённости объекта защиты

Несмотря на то, что современные ОС для персональных компьютеров, такие, как Windows 2000, Windows XP и Windows NT, имеют собственные подсистемы защиты, актуальность создания дополнительных средств защиты сохраняется. Дело в том, что большинство систем не способны защитить данные, находящиеся за их пределами, например при сетевом информационном обмене.

Аппаратно-программные средства защиты информации можно разбить на пять групп:

1.     Системы идентификации (распознавания) и аутентификации (проверки подлинности) пользователей.

2.     Системы шифрования дисковых данных.

3.     Системы шифрования данных, передаваемых по сетям.

4.     Системы аутентификации электронных данных.

5.     Средства управления криптографическими ключами.

Объект защиты будет оснащен программно-аппаратными комплексами, относящимся к вышеперечисленным группам. На рассматриваемом объекте информация создается и хранится на компьютерах, поэтому необходима надежная защита данных и система разграничения доступа (СРД).

1.2. Перечень рекомендаций по  обеспечению безопасности на объекте

Для противодействия промышленному шпионажу необходимо провести мероприятия по ряду факторов:

1. Проведение эффективной кадровой политики. В частности проводить проверку прошлого, человеческих качеств претендента, чтобы исключить появление внутри компании потенциальных злоумышленников;

2. Проведение должного инструктажа и регулярных проверок. Инструктаж необходим чтобы персонал компании знал какая информация является конфиденциальной, а какой можно делиться без угроз для безопасности компании. Проверки же позволят закрепить полученную персоналом информацию и выявить тех, кто несерьёзно или недобросовестно относится к вопросам информационной безопасности;

3. Создание положительной мотивации работников. Человек который чем-то недоволен в своей работе – потенциальный распространитель конфиденциальной информации о компании. Он может начать её рассказывать даже случайному знакомому за барной стойкой только для того, чтобы выговориться. Если же ему предложить за разглашение вознаграждение, то подобный сотрудник не колеблясь выдаст все известные ему секреты и тайны;

4. Создание надёжной технически защищённой базы хранения и передачи информации. Т.е. создание системы, которая не будет подвержена техническим сбоям и будет в состоянии выдержать любую хакерскую атаку.

1.2.1.  Основные требования и рекомендации по защите информации, циркулирующей в защищаемых помещениях

В учреждении (предприятии) должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП.

Защищаемые помещения должны размещаться в пределах КЗ. При этом рекомендуется размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий).

Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).

Защищаемые помещения рекомендуется оснащать сертифицированными по требованиям безопасности информации ОТСС и ВТСС либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию.

Эксплуатация ОТСС, ВТСС должна осуществляться в строгом соответствии с предписаниями и эксплуатационной документацией на них.

Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств перехвата информации "закладок" проводится, при необходимости, по решению руководителя предприятия.

Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий.

Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ЗП в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.

Для исключения возможности скрытного проключения ТА и прослушивания ведущихся в ЗП разговоров не рекомендуется устанавливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не являющиеся сотрудниками учреждения (предприятия).

В случае необходимости, рекомендуется использовать сертифицированные по требованиям безопасности информации цифровые АТС либо устанавливать в эти помещения аналоговые аппараты.

Ввод системы городского радиотрансляционного вещания на территорию учреждения (предприятия) рекомендуется осуществлять через радиотрансляционный узел (буферный усилитель), размещаемый в пределах контролируемой зоны.

При вводе системы городского радиовещания без буферного усилителя в ЗП следует использовать абонентские громкоговорители в защищенном от утечки информации исполнении, а также трехпрограммные абонентские громкоговорители в режиме приема 2-й и 3-й программы (с усилителем).

Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне.

В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию.

Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП.

Проверка достаточности звукоизоляции осуществляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем.

При этом уровень тестового речевого сигнала должен быть не ниже используемого во время штатного режима эксплуатации помещения.

Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов.

Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационно-режимные меры, ограничивая на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП.

Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (нештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).

Для снижения уровня виброакустического сигнала рекомендуется расположенные в ЗП элементы инженерно-технических систем отопления, вентиляции оборудовать звукоизолирующими экранами.

 При эксплуатации ЗП необходимо предусматривать организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение:

·        двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;

·        выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;

·        установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации учреждения.

1.2.2.  Основные требования и рекомендации по защите служебной тайны и персональных данных

При разработке и эксплуатации АС, предполагающих использование информации, составляющей служебную тайну, а также персональных данных должны выполняться следующие основные требования.

В учреждении (на предприятии) должны быть документально оформлены перечни сведений, составляющих служебную тайну, и персональных данных, подлежащих защите. Эти перечни могут носить как обобщающий характер в области деятельности учреждения (предприятия), так и иметь отношение к какому-либо отдельному направлению работ. Все исполнители должны быть ознакомлены с этими перечнями в части их касающейся.

Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" устанавливается следующий порядок классификации АС в зависимости от вида сведений конфиденциального характера:

·        АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г;

·        АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.

Для обработки информации, составляющей служебную тайну, а также для обработки персональных данных следует использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).

Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы.

Носители информации на магнитной (магнитно-оптической) и бумажной основе должны учитываться, храниться и уничтожаться в подразделениях учреждений (предприятий) в порядке, установленном для служебной информации ограниченного распространения, с пометкой "Для служебного пользования".

Доступ к информации исполнителей (пользователей, обслуживающего персонала) осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в учреждении (на предприятии).

При необходимости указанный минимальный набор рекомендуемых организационно-технических мер защиты информации по решению руководителя предприятия может быть расширен.

1.2.3.Основные рекомендации по защите информации, составляющей коммерческую тайну

При разработке и эксплуатации АС, предполагающих использование сведений, составляющих коммерческую тайну, рекомендуется выполнение следующих основных организационно-технических мероприятий:

·        На предприятии следует документально оформить "Перечень сведений, составляющих коммерческую тайну". Все исполнители должны быть ознакомлены с этим "Перечнем".

·        Оформить порядок разработки и эксплуатации АС документально.

·        Рекомендуется относить АС, обрабатывающие информацию, составляющую коммерческую тайну, режим защиты которой определяет ее собственник, по уровню защищенности к классам 3Б, 2Б и не ниже 1Д (если по решению руководителя предприятия не предъявляются более высокие требования).

·        Рекомендуется для обработки информации, составляющей коммерческую тайну, использовать средства вычислительной техники, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).

·        Для повышения уровня защищенности информации рекомендуется использовать сертифицированные по требованиям безопасности информации СВТ.

Следует установить на предприятии порядок учета, хранения и уничтожения носителей информации на магнитной (магнитно-оптической) и бумажной основе в научных, производственных и функциональных подразделениях, а также разработать и ввести в действие разрешительную систему допуска исполнителей документам и сведениям, составляющим коммерческую тайну.

Указанный минимальный набор рекомендуемых организационно-технических мероприятий по решению руководителя предприятия может быть расширен.

Решение о составе и содержании мероприятий, а также используемых средств защиты информации принимается руководителем предприятия по результатам обследования создаваемой (модернизируемой) АС с учетом важности (ценности) защищаемой информации.

1.2.4.  Порядок обеспечения защиты конфиденциальной информации при эксплуатации АС

Организация эксплуатации АС и СЗИ в ее составе осуществляется в соответствии с установленным в учреждении (на предприятии) порядком, в том числе технологическими инструкциями по эксплуатации СЗИ НСД для пользователей, администраторов АС и работников службы безопасности.

Для обеспечения защиты информации в процессе эксплуатации АС рекомендуется предусматривать соблюдение следующих основных положений и требований:

·        допуск к защищаемой информации лиц, работающих в АС (пользователей, обслуживающего персонала), должен производиться в соответствии с установленным разрешительной системой допуска порядком;

·        на период обработки защищаемой информации в помещениях, где размещаются ОТСС, могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц для проведения необходимых профилактических или ремонтных работ может осуществляться в эти помещения только с санкции руководителя учреждения (предприятия) или руководителя службы безопасности;

·        в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации;

·        по окончании обработки защищаемой информации или при передаче управления другому лицу пользователь обязан произвести стирание временных файлов на несъёмных носителях информации и информации в оперативной памяти. Одним из способов стирания информации в оперативной памяти является перезагрузка ПЭВМ;

·        изменение или ввод новых программ обработки защищаемой информации в АС должен осуществляться совместно разработчиком АС и администратором АС;

·        при увольнении или перемещении администраторов АС руководителем учреждения (предприятия) по согласованию со службой безопасности должны быть приняты меры по оперативному изменению паролей, идентификаторов и ключей шифрования.

Все носители информации на бумажной, магнитной, оптической (магнито-оптической) основе, используемые в технологическом процессе обработки информации в АС, подлежат учету в том производственном, научном или функциональном подразделении, которое является владельцем АС, обрабатывающей эту информацию.

Учет съемных носителей информации на магнитной или оптической основе (гибкие магнитные диски, съемные накопители информации большой емкости или картриджи, съемные пакеты дисков, иные магнитные, оптические или магнито-оптические диски, магнитные ленты и т.п.), а также распечаток текстовой, графической и иной информации на бумажной или пластиковой (прозрачной) основе осуществляется по карточкам или журналам установленной формы, в том числе автоматизировано с использованием средств вычислительной техники. Журнальная форма учета может использоваться в АС с небольшим объемом документооборота.

Съемные носители информации на магнитной или оптической основе в зависимости от характера или длительности использования допускается учитывать совместно с другими документами по установленным для этого учетным формам.

При этом перед выполнением работ сотрудником, ответственным за их учет, на этих носителях информации предварительно проставляются любым доступным способом следующие учетные реквизиты: учетный номер и дата, пометка "Для служебного пользования", номер экземпляра, подпись этого сотрудника, а также другие возможные реквизиты, идентифицирующие этот носитель.

Распечатки допускается учитывать совместно с другими традиционными печатными документами по установленным для этого учетным формам.

Временно не используемые носители информации должны храниться пользователем в местах, недоступных для посторонних лиц.

1.3.        Разработка  модели построения корпоративной системы защиты информации

В соответствии со ст. 20 Федерального закона “Об информации, информатизации и защите информации” целями защиты информации являются в том числе: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.

Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ, обеспечении нормальной производственной деятельности всех подразделений объекта. Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.

Для этого необходимо:

·        отнести информацию к категории ограниченного доступа (служебной тайне);

·        прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

·        создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

·        создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

·        создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения информационной безопасности.

При выполнении работ можно использовать следующую модель построения корпоративной системы защиты информации (рис. 1), основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 “Информационная технология – методы защиты – критерии оценки информационной безопасности”, стандарту ISO/IEC 17799 “Управление информационной безопасностью” и учитывает тенденции развития отечественной нормативной базы по вопросам защиты информации.

Рис. 1. Модель построения корпоративной системы защиты информации

Представленная модель защиты информации – это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

Рассматриваются следующие объективные факторы:

·        угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;

·        уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;

·        риск – фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери – прямые или косвенные).

Для построения сбалансированной системы информационной безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.

Предлагаемая методика проведения аналитических работ позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, обеспечить проведение работ в сжатые сроки, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.

ГЛАВА 2. РАЗРАБОТКА ПРОЕКТА ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ СИСТЕМЫ БЕЗОПАСНОСТИ ОБЪЕКТА ЗАЩИТЫ 2.1. Технические каналы утечки информации 2.1.1. Каналы утечки информации в компании «infoCentre»

Причины утечки информации по техническим каналам приведены на рисунке.

Утечка информации по материально-вещественному каналу "перекрыта", так как на предприятии, в служебные помещения действует контрольно пропускной режим, а следовательно в таких помещениях отсутствуют посторонние лица.

Рассмотрим технические каналы утечки информации.

Акустический канал утечки информации:

·        Воздушные

1.     Установка радио-закладок в стенах и мебели;

2.     Съем информации с использованием диктофонов;

3.     Съем информации направленным микрофоном.

Отметим, что съем информации с помощью направленного микрофона возможен только с нижних этажей здания, наше предприятие располагается на первом этаже, поэтому съем информации с помощью направленного микрофона представляет наибольшую опасность.  

·        Вибрационные

1.     За счет структурного звука в стенах и перекрытиях;

2.     Утечка по сети отопления, газо- и водоснабжения.

Для реализации данного метода необходимо проникновение в здание и установка специального оборудование. В связи с контрольно-пропускным режимом и видеонаблюдением действующим на предприятии данная группа акустического канала утечки информации затруднительна.

·        Электроакустические

1.     Съем информации за счет наводок и "навязывания";

2.     Съем информации за счет использования "телефонного уха";

3.     Утечка по охранно-пожарной сигнализации.

Для реализации данных методов также необходимо проникновение в здание и установка спец. Оборудования. Что предотвращено контрольно-пропускным режимом и видеонаблюдением установленных на предприятии.

·        Оптико-электронные

1.     Лазерный съем акустической информации с окон.

Как и в случае с воздушным каналом утечки информации съем информации данным методом возможен только с нижних этажей здания предприятия. По мимо акустического канала утечки информации в технических каналах также существуют и другие каналы:

·        Визуально-оптические

1.     Наблюдение, фотографирование, видеосъемка объекта.

Для съема информации через визуально-оптический канал утечки, необходимо либо проникнуть в здание предприятия, либо осуществлять видео/фото съемку с близ лежащих домов. Проникновение в здание посторонних лиц пресекается физической защитой.

·        Компьютерные

1.      Программно-аппаратные закладки;

2.     Компьютерные вирусы, логические бомбы, троянские кони и т.п.;

3.     Подключение к удаленному компьютеру.

Возможна утечка информации через данный канал. Так как компьютеры предприятия имеют связь с внешним миром через сервер установленный на предприятии. Следовательно, возможно "проникновение" в компьютерную сеть с удаленного компьютера. Хотя и используется специальное программное и аппаратное обеспечение (антивирусы, firewall’ы), вероятность проникновения в компьютерную сеть все же остается, так как все время совершенствуются и находятся новые пути обхода защитного программного и аппаратного обеспечения.

·        Агентурные

1.     Вербовка агентов;

2.     Внедрение агентов.

Полностью защититься от этого канала утечки информации невозможно (если конечно не уволить всех рабочих). Учитывая численность работников предприятия,  контролировать данный канал утечки информации особенно сложно. Для уменьшения вероятности утечки информации через данный канал, необходимо разграничить доступ персонала к закрытой информации.

Для предотвращения утечки информации через данный канал, необходима фильтрация данных предоставляемых для опубликования. Также необходимо разграничение доступа к защищаемой информации, например установление контрольно-пропускного режима. На рассматриваемом предприятие реализован контрольно-пропускной режим в служебные помещения, а также ведется видеонаблюдение, это предотвращает несанкционированное проникновение в архив предприятия.