Устройство защиты цепей электросети и заземления SEL SP-44
Рисунок 3.21 - Устройство защиты цепей электросети и заземления SEL SP-44
Устройство защиты цепей электросети и заземления SEL SP-44 является техническим средством защиты информации, обрабатываемой на объектах вычислительной техники 1, 2 и 3 категории, от утeчки за счёт наводок по цепям электропитания и заземления путём постановки маскирующих помех в цепях электропитания и заземления в диапазоне частот 0,01 - 300 МГц и может устанавливаться в выделенных помещениях до 1 категории включительно без применения дополнительных мер защиты.
SEL SP-44 представляет собой генератор регулируемого шума по электросети и является техническим средством активной защиты от утечки информации по сети электропитания и подавления устройств несанкционированного съёма информации, использующих электросеть в качестве канала передачи [35].
Отличительные особенности:
- Основные узлы прибора - формирователи шума, регуляторы уровня и выходные усилители - представляют собой полностью цифровые устройства. Это позволяет при сохранении высокого коэффициента качества шумового сигнала полностью исключить утечку информации за счет самовозбуждения, паразитной генерации и модуляции опасным речевым сигналом, а также за счет электрических сигналов, вызванных электроакустическими преобразованиями в элементах схемы, и их утечки по цепям питания.
- Наличие независимых регуляторов уровня для низкочастотного и высокочастотного диапазонов позволяет оптимизировать спектр помехи по электромагнитной совместимости при сохранении достаточной эффективности маскировки.
- Устройство имеет высший класс устойчивости к импульсным помехам и допускает длительную работу в условиях эквивалентного короткого замыкания. Применение ключевых выходных усилителей существенно повышает экономичность, надежность и стабильность параметров изделия, позволяет эксплуатировать его в более жестких климатических условиях.
- Во время работы прибор постоянно осуществляет самотестирование, и в случае неисправности выдаёт звуковой и световой сигнал.
Управление включением помехи может осуществляться с панели управления или дистанционно.
К тому же иметься :
Сертификат соответствия ФСТЭК No 1445, действительный до 10.08.2013.
Санитарно-эпидемиологическое заключение.
Сертификат ГОСТ Р No РОСС RU.ME06.H00348.
Награды:
Диплом и медаль I степени XII Международного форума "Технологии безопасности-2007"
Диплом и медаль "Гарантия качества и безопасности" международного конкурса "Национальная безопасность"
3.3.3 Выбор программных средств защиты
Класс защищенности:
Согласно руководящему документу РД " Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации " АС относиться к первой группе и классу 1Г, необходимо повысить класс до 1В с помощью программного обеспечения Sercret Net 6.5.
МЭ согласно РД "Средства вычислительной техники. Межсетевые экраны Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации " полностью соответствует нужному классу (3 класс).
СВТ на данный момент имеет 5 класс защищенности, для надёжной работы КСЗИ необходимо повысить до 2 класса. Для этого установим Secret Net 6.5.
АВС имеет класс А3, который соответствует необходимым требованиям.
В качестве дополнения к уже существующим средствам в мед. учреждении будет добавлено следующее программное обеспечение:
Secret Net 6.5
Secret Net позволяеет привести автоматизированную систему в соответствие требованиям регулирующих документов по защите конфиденциальной информации, персональных данных.
Рисунок 3.22 - ключевые возможности SecretNet
Варианты развертывания Secret Net:
Будет выбран автономный вариант - предназначенный для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.
Назначение СЗИ Secret Net
Сертифицированное средство защиты информации от несанкционированного доступа на рабочих станциях и серверах.
СЗИ Secret Net предназначено для защиты информации, составляющей коммерческую или государственную тайну или относящейся к персональным данным. Является эффективным средством защиты от внутренних (инсайдерских) угроз, может применяться как на автономных станциях, так и в информационных сетях.
Данное программное обеспечение поможет разграничить необходимый требуемый доступ во внутренней локальной вычислительной сети мед. учреждения. Права доступа будут назначаться на уже имеющийся в компании файловый сервер.
Данное программное обеспечение необходимо установить на все персональные компьютеры находящиеся в мед. учреждении.
3.4 Введение в эксплуатацию системы защиты информации
Введение в эксплуатацию системы защиты информации подразумевает выполнение мероприятий по защите информации, предусмотренных техническим проектом. К работам по монтажу технических средств обработки информации, вспомогательных технических средств, а также проведения технических мероприятий по защите информации должны привлекаться организации, имеющие лицензию ФСТЭК РФ.
Монтажной организацией или заказчиком проводятся закупка сертифицированных ТСОИ и специальная проверка не сертифицированных ТСОИ на предмет обнаружения возможно внедренных в них электронных устройств перехвата информации (“закладок”) и их специальные исследования.
По результатам специальных исследований ТСОИ уточняются мероприятия по защите информации. В случае необходимости вносятся соответствующие изменения в технический проект, которые согласовываются с проектной организацией и заказчиком.
Проводятся закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка в соответствии с техническим проектом.
Службой (специалистом) безопасности организуется контроль проведения всех мероприятий по защите информации, предусмотренных техническим проектом.
В период установки и монтажа ТСОИ и средств защиты информации особое внимание должно уделяться обеспечению режима и охране защищаемого объекта.
К некоторым мероприятиям по организации контроля в этот период можно отнести [36]:
- перед монтажом необходимо обеспечить скрытную проверку всех монтируемых конструкций, особенно установочного оборудования, на наличие разного рода меток и отличий их друг от друга, а также закладных устройств;
- необходимо организовать периодический осмотр зон выделенных помещений в вечернее или в нерабочее время при отсутствии в нем строителей в целях выявления подозрительных участков и мест;
- организовать контроль за ходом всех видов строительных работ на территории и в здании. Основная функция контроля заключается в подтверждении правильности технологии строительно-монтажных работ и соответствия их техническому проекту;
- организовать осмотр мест и участков конструкций, которые по технологии подлежат закрытию другими конструкциями. Такой контроль может быть организован легально под легендой необходимости проверки качества монтажа и материалов или скрытно;
- необходимо тщательно проверять соответствие монтажных схем и количество прокладываемых проводов техническому проекту. Особое внимание необходимо уделять этапу ввода проводных коммуникаций и кабелей в зону выделенных помещений. Все прокладываемые резервные провода и кабели необходимо нанести на план-схему с указанием мест их начала и окончания.
Перед установкой в выделенные помещения и на объекты информатизации мебели и предметов интерьера технические устройства и средства оргтехники должны проверяться на отсутствие закладных устройств. Одновременно целесообразно провести проверку технических средств на уровни побочных электромагнитных излучений. Такую проверку целесообразно проводить в специально оборудованном помещении или на промежуточном складе [36].
После установки и монтажа технических средств защиты информации проводится их опытная эксплуатация в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации.
По результатам опытной эксплуатации проводятся приемо-сдаточные испытания средств защиты информации с оформлением соответствующего акта.
По завершении ввода в эксплуатацию СЗИ проводится аттестация объектов информатизации и выделенных помещений по требованиям безопасности. Она является процедурой официального подтверждения эффективности комплекса реализованных на объекте мер и средств защиты информации .
При необходимости по решению руководителя организации могут быть проведены работы по поиску электронных устройств съема информации (“закладных устройств”), возможно внедренных в выделенные помещения, осуществляемые организациями, имеющими соответствующие лицензии ФСБ России.
В период эксплуатации периодически должны проводиться специальные обследования и проверки выделенных помещений и объектов информатизации. Специальные обследования должны проводиться под легендой для сотрудников организации или в их отсутствие (допускается присутствие ограниченного круга лиц из числа руководителей организации и сотрудников службы безопасности) [36].
4. Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования
Для решения задачи по анализу эффективности комплексной системы безопасности информации разработанной для мед. учреждении, воспользуемся известным методом CRAMM.
Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.
Для оценки угроз выбраны следующие косвенные факторы:
- Статистика по зарегистрированным инцидентам.
- Тенденции в статистке по подобным нарушениям.
- Наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей.
- Моральные качества персонала.
- Возможность извлечь выгоду из изменения обрабатываемой в системе информации.
- Наличие альтернативных способов доступа к информации.
- Статистика по подобным нарушениям в других информационных системах организации.
Для оценки уязвимостей выбраны следующие косвенные факторы:
- Количество рабочих мест (пользователей) в системе.
- Размер рабочих групп.
- Осведомленность руководства о действиях сотрудников (разные аспекты).
- Характер используемого на рабочих местах оборудования и ПО.
- Полномочия пользователей.
- По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые «стоят» определенное количество баллов.
Итоговая оценка угрозы и уязвимости определяется путем суммирования баллов.
Несомненным достоинством данного подхода является возможность учета множества косвенных факторов (не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки.
Оценка уязвимости
Таблица 4 - Оценка уязвимостей
| 1.Сколько людей имеют право пользоваться информационной системой? | ||
| Варианты ответа | Количество баллов | |
| a | От 1 до 10 | |
| b | От 11 до 50 | |
| c | От 51 до 200 | |
| d | От 200 до 1000 | |
| e | Свыше 1000 | |
| 2. Будет ли руководство осведомлено о том, что люди, работающие под их началом, ведут себя необычным образом? | ||
| a | Да | |
| b | Нет | |
| 3. Какие устройства и программы доступны пользователям? | ||
| a | Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных | |
| b | Только стандартное офисные устройства и программы и управляемые с помощью меню подчиненные прикладные программы | |
| c | Пользователи могут получить доступ к операционной системе, но не к компиляторам | |
| d | Пользователи могут получить доступ к компиляторам | |
| 4. Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе? | ||
| a | Да | |
| b | Нет | |
| 5. Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе? | ||
| a | Менее 10 человек | |
| b | От 11 до 20 человек | |
| c | Свыше 20 человек | |
| 6. Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)? |
Продолжение Таблицы 3
| a | Да | |
| b | Нет | |
| 7. Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных? | ||
| a | Официальное право предоставлено всем пользователям | |
| b | Официальное право предоставлено только некоторым пользователям | |
| 8 .Насколько необходимо пользователям знать всю информацию, хранящуюся в системе? | ||
| a | Всем пользователям необходимо знать всю информацию | |
| b | Отдельным пользователям необходимо знать лишь относящуюся к ним информацию |
Таблица 5 - Степень уязвимости при количестве полученных баллов
| Степень уязвимости при количестве баллов: | |
| До 9 | Низкая |
| От 10 до 19 | Средняя |
| 20 и более | Высокая |
Таблица 6 - Полученные результаты (до разработки КСЗИ)
| Варианты Ответов до разработки КСЗИ : | ||
| Номер вопроса | Вариант ответа | Кол-во Баллов |
| b | ||
| b | ||
| a | ||
| a | ||
| c | ||
| a | ||
| b | ||
| b | ||
| Сумма баллов |
Так как сумма баллов 34, следовательно, степень уязвимости до разработки комплексной системы защиты информации является Высокой. Отсюда делаем вывод, что требуется незамедлительное улучшение и доработка СКЗИ.
Таблица 7 - Полученные результаты (после разработки КСЗИ)
| Варианты Ответов до разработки КСЗИ : | ||
| Номер вопроса | Вариант ответа | Кол-во Баллов |
| Сумма баллов |
Так как сумма баллов 29, следовательно, степень уязвимости комплексной системы защиты информации является Высокой.
7 Безопасность жизнедеятельности
Безопасность жизнедеятельности (БЖД) - это комплекс мероприятий, направленных на обеспечение безопасности человека в среде обитания, сохранение его здоровья, разработку методов и средств защиты путем снижения влияния вредных и опасных факторов до допустимых значений, выработку мер по ограничению ущерба в ликвидации последствий чрезвычайных ситуаций мирного и военного времени.
Цель и содержание БЖД:
- обнаружение и изучение факторов окружающей среды, отрицательно влияющих на здоровье человека;
- ослабление действия этих факторов до безопасных пределов или исключение их если это возможно;
- ликвидация последствий катастроф и стихийных бедствий.
Охрана здоровья трудящихся, обеспечение безопасности условий труда, ликвидация профессиональных заболеваний и производственного травматизма составляет одну из главных забот человеческого общества. Обращается внимание на необходимость широкого применения прогрессивных форм научной организации труда, сведения к минимуму ручного, малоквалифицированного труда, создания обстановки, исключающей профессиональные заболевания и производственный травматизм.
На рабочем месте должны быть предусмотрены меры защиты от возможного воздействия опасных и вредных факторов производства. Уровни этих факторов не должны превышать предельных значений, оговоренных правовыми, техническими и санитарно-техническими нормами. Эти нормативные документы обязывают к созданию на рабочем месте условий труда, при которых влияние опасных и вредных факторов на работающих либо устранено совсем, либо находится в допустимых пределах.
Данный раздел дипломного проекта посвящен рассмотрению следующих вопросов:
- Расчет уровня шума.
- Условия труда сотрудников медицинского учреждения
- Требования к помещениям
- Эргономические требования к рабочему месту
- Режим труда
- Расчет освещенности
7.1 Характеристика условий труда сотрудника мед. учренждения
Научно-технический прогресс внес серьезные изменения в условия производственной деятельности работников умственного труда. Их труд стал более интенсивным, напряженным, требующим значительных затрат умственной, эмоциональной и физической энергии. Это потребовало комплексного решения проблем эргономики, гигиены и организации труда, регламентации режимов труда и отдыха.
В настоящее время компьютерная техника широко применяется во всех областях деятельности человека. При работе с компьютером человек подвергается воздействию ряда опасных и вредных производственных факторов: электромагнитных полей (диапазон радиочастот: ВЧ, УВЧ и СВЧ), инфракрасного и ионизирующего излучений, шума и вибрации, статического электричества и др.
Работа с компьютером характеризуется значительным умственным напряжением и нервно-эмоциональной нагрузкой операторов, высокой напряженностью зрительной работы и достаточно большой нагрузкой на мышцы рук при работе с клавиатурой ЭВМ. Большое значение имеет рациональная конструкция и расположение элементов рабочего места, что важно для поддержания оптимальной рабочей позы человека-оператора.
В процессе работы с компьютером необходимо соблюдать правильный режим труда и отдыха. В противном случае у персонала отмечаются значительное напряжение зрительного аппарата с появлением жалоб на неудовлетворенность работой, головные боли, раздражительность, нарушение сна, усталость и болезненные ощущения в глазах, в пояснице, в области шеи и руках.
7.2 Требования к помещениям