Платная доработка на тему Оценка защищенности планшетных компьютеров от утечки конфиденциальной информации по каналу ПЭМИ

Содержание:

Введение 3
Глава 1. Анализ объекта защиты 9
1.1 Правовые основы защиты информации 9
1.2 Анализ предприятия как объекта защиты 16
1.3 Анализ потенциальных каналов утечки информации 43
Выводы по 1 главе 49
Глава 2. Оценка защищенности планшетных компьютеров по каналу ПЭМИ 51
2.1 Источники ПЭМИ в ПЭВМ 51
2.2 Методика измерения ПЭМИН программно-аппаратным комплексом «Навигатор» 62
2.3 Измерение уровней ПЭМИ от планшетных компьютеров и расчет величины зоны R2 66
Выводы по 2 главе 69
Глава 3. Разработка рекомендаций по защите рабочего места 71
3.1 Технические меры по защите конфиденциальной информации от её утечки по каналу ПЭМИ 71
3.2 Разработка рекомендаций по защите от утечки конфиденциальной информации по каналу ПЭМИН 75
Выводы по 3 главе 81
Заключение 83
Список использованных источников 85

Введение:

Создание системы информационной безопасности предприятия– это процесс, затрагивающий процессы внедрения технических средств защиты информации, а также разработку правил работы с информацией внутри организации, настройку программного обеспечении для безопасной работы, регламентирование деятельности в различных ситуациях.
Для построения системы защиты информации производится аудит всех информационных и технических активов, поскольку в настоящее время в любой организации существует достаточно много программных и технических средств, с помощью которых организации ведут управленческий учет и хранят конфиденциальные данные, а так же сведения, составляющие коммерческую тайну. В процессе аудита активов производится так же оценка угроз и уязвимостей для активов, а так же выделяются каналы, по которым может произойти утечка коммерческой информации или персональных данных.
Все информационные и технические активы предприятия оцениваются с позиции причинения ущерба организации от их утери, публикации в открытом доступе или распространения и передачи третьим лицам без согласия или против воли хозяйствующего субъекта, тем самым причиняя ему материальный или иной ущерб [7].
Задача оценки причинения ущерба определить ценность информационных активов с точки зрения их потери для организации. А так же сведение к минимуму возможного ущерба, а в идеале исключения такого рода угроз активам за счет внедрения средств защиты информации. В зависимости от вида информации, которая может быть утрачена ущерб может быть нанесен, как непосредственно владельцу информации ,так и клиентам, поставщикам и партнерам, что в значительной степени увеличивают ответственность организации. В связи с этим задачей организации информационной безопасности является создание максимально защищенной внутренней среды.
Каждая коммерческая компания дожа обеспечивать защиту собственных данных, которые включают в себя коммерческую тайну, данные экономической и хозяйственной деятельности. В современном мире информационных технологий, без которых уже не может существовать ни одна организация, существует множество угроз потери или кражи данных.
В настоящее время осознание того, что внутри компании по локальной вычислительной сети передаются большие объемы данных, и впоследствии хранятся на сервере или другом устройстве есть у всех владельцев информации. Защита ЛВС и создание контролируемой защищённой зоны в организации имеется повсеместно. При этом создание защищенной среды в организации подчинено экономической целесообразности и возможностями компаний. Защита создается для активов, которые могут быть атакованы или похищены, или к которым может быть осуществлен несанкционированный доступ.
В свою очередь, для защиты от утечки конфиденциальной информации по каналу ПЭМИ (побочное электромагнитное излучение) в обычных организациях не применяются методы защиты, т.к. компании пренебрегают данными угрозами в виду несопоставимости затрат, на организацию защиты и ущерба от возникшей угрозы. При этом имеются законные основания, в федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне», где определена ответственность за противоправные и умышленны действия по использованию сведений составляющих коммерческую тайну, полученных любыми способами. Организация такого рода защиты целесообразна и обязательна, но стоимость проведения испытаний, а так же впоследствии организации защиты может превысить все возможные убытки ущерб от угрозы. При этом, для организации, где высока цена активов, ущерб от потери которых может быть очень велик такого рода испытания и проведения защиты проводятся.
Применение средств защиты от утечки конфиденциальной информации по каналу ПЭМИ реализуется в помещениях и серверных комнатах с помощью специального оборудования, а так же в создании условий для предотвращения возможности съема информации.
На законодательном уровне прописаны задачи по обеспечению безопасности персональных данных. Стандарты информационной безопасности четко описывают все механизмы защиты и способы организации защиты информации на предприятиях от различных киберпреступлений.
Киберпреступление, как и любое иное преступление, является плодом труда одного или нескольких злоумышленников. Для киберпреступников характерно наличие обширных знаний в области вычислительной техники, Интернет и цифровых технологий. Киберпреступление может иметь определенную корыстную цель, не всегда напрямую связанную с финансами. Поскольку киберпрестпления связаны с информацией и ее носителями, целью киберпреступления может быть непосредственно задача завладения информацией.
Киберпреступники используют целый арсенал узкоспециальных знаний и навыков в целях получения несанкционированного доступа к сведениям составляющих коммерческую тайну, доступа к закрытым данным или информационным системам, хранящим закрытые данные, банковским счетам, совершения краж личности, вымогательства финансовых средств, мошенничества и прочее.
В свою очередь, современный бизнес стал более мобильным, за счет использования планшетов, смартфонов, портативных компьютеров и мобильной связи. Что в совокупности предоставляет мобильный офис, т.е. рабочее место имеющее доступ к центральному серверу, учетным системам и документам, хранимым и передаваемым в центральный офис. Защита информации при передачи по каналам связи может иметь высокую степень защиты, но в свою очередь портативные устройства, находящиеся вне защищаемой зоны не имеют никакой защиты от утечки конфиденциальной информации по каналу ПЭМИ.

Заключение:

Обработка данных с помощью информационных технологий привело к появлению ряда общих проблем информационной безопасности, необходимо обеспечить защиту имущественных прав граждан и юридических лиц, государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту коммерческой тайны, персональных данных и интеллектуальной собственности).
Достигнута цель дипломной работы — проведена оценка защищенности планшетных компьютеров от утечки конфиденциальной информации по каналу ПЭМИ и представлены рекомендации по использованию средств защиты.
Использование мобильных устройств и планшетных ПК стало повсеместным, за счет чего бизнес стал более мобильным и оперативным. Что бы обеспечить сохранность информации при передачи в режиме удаленной работы необходимо обеспечить ряд требований и защитных мероприятий. Не распространенным, но при этом имеющая высокую вероятность возникновения, является угроза утечки конфиденциальной информации по каналу ПЭМИ для планшетного ПК. Данная проблема решается выполнением ряда требований к работе на планшетном ПК и в случае необходимости использования активных средств защиты.
Для достижения поставленной цели были выполнены все поставленные задачи:
— изучена деятельность организации и дано ее описание;
— проанализированы все имеющиеся в ООО «ТД «ТИАРА» средства защиты информации;
— изучены нормативно-правовые акты, направленные на организацию системы защиты данных;
— рассмотрены способы защиты от утечки конфиденциальной информации по каналу ПЭМИ;
— описаны методики защиты данных;
— разработаны рекомендации по обеспечению защищенности планшетных компьютеров от утечки конфиденциальной информации по каналу ПЭМИ.
В результате выполнения работы сформулирован рекомендации по организации защиты планшетных ПК от утечки конфиденциальной информации по каналу ПЭМИ, для чего были представлены как организационные рекомендации, так и предложены портативные устройства в виде генераторов помех, которые позволят исключить возникновения угрозы.

Фрагмент текста работы:

Глава 1. Анализ объекта защиты
1.1 Правовые основы защиты информации
Организация в своей деятельности использует информацию, которая может представлять ценность для конкурентов и других организаций. Такого рода информация, которая имеет экономическую ценность для других хозяйствующих субъектов, называют коммерческой тайной.
Для определения какая информация, которая относится коммерческой тайне, используют сведения и классификацию, которая представлена в федеральном законе от 29.07.2004 №98-ФЗ «О коммерческой тайне».
Согласно федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне» статья 3 коммерческая тайна — режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду» [33].
Согласно закона, информация, составляющая коммерческую тайну включает в себя сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны
Руководство определяет ценность информации, которая существует в организации. Для структурирования информации о коммерческой тайне руководствуются положениями Постановления № 35 «О перечне сведений, которые не могут составлять коммерческую тайну» [25].
Данное постановление регламентирует сведения которые можно отнести к коммерческой тайне, для того что бы руководители в попытке защитить информации организации не выводили все имеющиеся в разряд коммерческой тайны.
Информация может составлять коммерческую тайну, если она отвечает следующим требованиям (критерии правовой охраны):
­ к ней нет свободного доступа на законном основании;
­ обладатель информации принимает меры к охране ее конфиденциальности [25, 32].
Сведения, включенные в данный перечень, могут быть коммерческой тайной только с учетом особенностей конкретного предприятия (организации) [16].
К сведениям коммерческой направленности можно отнести:
1. Информацию и документы, содержащие сведения о финансовой деятельности организации – размер прибыли, наличие и размер кредитов и займов, процентные ставки по задолженности, размер дебиторской и кредиторской задолженности с перечнем организаций и физических лиц; текущие финансовые отчеты и аналитические прогнозы о деятельности и финансовом положении организации; коммерческие замыслы, планы и намерения организации; размер фонда заработной платы и прочее.
2. Информация об условиях договоров, тенденции производства; отношения с потребителем и репутация.
3. Сведения о сотрудниках организации (их квалификации и доступе к информации в организации) – численность и структура персонала организации, занимаемые должности и оклады; перечень сотрудников принимающих стратегические решения на разных этапах деятельности организации [25].
Для классификации информации в организации выделяют несколько классов, Каждый из которых требует определенной степени защиты и работы с ней.
Критическая информация – класс информации, для которой требуется организация специальных меры и методы обеспечения безопасности, как организационные, так и технические и программные. Данный класс информации должен защищаться от несанкционированного доступа, разглашения, модификации, удаления. Организация должна гарантировать сохранность и точность данной информации, поскольку она может быть использована для получения прибыли или влиять на финансовый результат деятельности организации [33].
Персональная информация — информация о конкретном человеке. Ее неавторизованное раскрытие может нанести серьезный вред организации, ее служащим, или клиентам [31].
В соответствии с федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» к персональным данным, подлежащим защите относится информация, которая соотносится к данным о сотрудниках, клиентах и любых физических лицах, которые тем или иным образом передают персональные данные организации для обработки, хранения и использования. Организация, принявшая соответствующие данные должна обеспечить их хранение и защиту [31].
Персональные данные в организации могут обрабатываться и храниться как в бумажном виде, так и обрабатываться с применением автоматизированных систем. Данные мероприятия, как обрабатывать и защищать персональные данные, обрабатываемые с помощью АС и без них отражены в приказе ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [27].
К персональным данным сотрудников и клиентов относятся:
1. Фамилия, имя, отчество;
2. Год, месяц, дата и место рождения;
3. Адрес места жительства;