Курсовой проект на тему: "Комплексная защита информации банковского учреждения"

САНКТ–ПЕТЕРБУРГСКОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ
ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
«САНКТ–ПЕТЕРБУРГСКИЙ ТЕХНИЧЕСКИЙ КОЛЛЕДЖ
УПРАВЛЕНИЯ И КОММЕРЦИИ»
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
к курсовому проекту
Наименование курса:
Тема:
МДК.03.02. Инженерно-технические средства
физической защиты объектов информатизации
Комплексная защита информации банковского
учреждения
Специальность
10.02.05 Обеспечение информационной безопасности
автоматизированных систем
(шифр и наименование специальности)
группы 9И-41/т
Студент
Ю. А. Семакова
(подпись)
(И.О. Фамилия)
Оценка
(проставляется цифрами и в скобках прописью)
Преподаватель
А. В. Феоктистов
(подпись)
(И.О. Фамилия)
В. А. Никулина
Председатель ПЦК
(подпись)
Санкт–Петербург
2023 г.
(И.О. Фамилия)
СОДЕРЖАНИЕ
ВВЕДЕНИЕ .......................................................................................................... 3
ГЛАВА 1. МОДЕЛИРОВАНИЕ ОБЪЕКТА ЗАЩИТЫ ..................................... 6
1.1. Описание объекта защиты .................................................................. 6
1.2. Анализ информации .......................................................................... 10
ГЛАВА 2. МОДЕЛИРОВАНИЕ УГРОЗ ИНФОРМАЦИИ .............................. 11
2.1. Моделирование угроз воздействия на источники информации ..... 11
2.2. Моделирование возможных каналов утечки информации ............. 13
2.3. Оценка степени угрозы защищаемой информации ......................... 15
ГЛАВА 3. МОДЕЛИРОВАНИЕ МЕРОПРИЯТИЙ .......................................... 18
ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ....................... 18
3.1. Расчет зон распространения акустических и электромагнитных
волн на объекте защиты ........................................................................... 18
3.2. Разработка модели скрытия вида деятельности организации......... 20
3.3. Разработка мероприятий по технической защите информации на
объекте защиты ........................................................................................ 21
3.4. Разработка модели охранной и пожарной сигнализации объекта
(помещения) .............................................................................................. 24
ГЛАВА 4. ОЦЕНКА ЭФФЕКТИВНОСТИ ЗАЩИТЫ ..................................... 26
4.1. Оценка степени защиты информации на объекте............................ 26
4.2. Экономическая оценка стоимости средств защиты информации... 29
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ .......................................... 31
ПРИЛОЖЕНИЕ А .............................................................................................. 33
ПРИЛОЖЕНИЕ Б ............................................................................................... 34
ПРИЛОЖЕНИЕ В .............................................................................................. 35
ПРИЛОЖЕНИЕ Г............................................................................................... 36
ПРИЛОЖЕНИЕ Д .............................................................................................. 37
2
ВВЕДЕНИЕ
Актуальность темы исследования заключается в необходимости
повышения систем информационной безопасности банковских организаций.
Сегодня в условиях современного информационного общества преступные
группировки и хакеры все активнее воруют и злоупотребляют информацией
о клиентах банков.
Тогда
как
банки
улучшают
свои
системы
безопасности,
злоумышленники также разрабатывают более сложные методы атаки. В
связи
с
этим,
банковским
учреждениям
необходимо
постоянно
совершенствовать свою защиту информации и следить за последними
тенденциями в области кибербезопасности.
Таким образом, комплексная защита информации в банковском
учреждении является актуальной темой, требующей внимания и дальнейших
исследований с целью определения эффективных стратегий и механизмов
защиты от современных киберугроз и внутренних угроз безопасности.
Цель
работы
заключается
в
теоретическом
и
практическом
обосновании необходимости и поиска эффективных механизмов повышения
информационной безопасности банковского учреждения. В соответствии с
поставленной целью в работе сформулированы и последовательно решены
следующие задачи:
1. Исследование основных угроз в области обеспечения безопасности
информации
2. Анализ и оценка уязвимостей в сетевой инфраструктуре банка
3. Изучение технических каналов утечки информации
4. Моделирование безопасного режима работы банковской системы
5. Создание
механизма
повышения
информационной
безопасности
систем
Предметом исследования выступает банковское учреждение города
Санкт-Петербург.
3
Объектом исследования является обеспечение безопасности клиентов,
сотрудников, а также активов банка (деньги, акции, ценные бумаги).
Банковские учреждения испытывают ряд проблем, которые требуют
своевременного решения:
1.
Физическая безопасность: недостаточные меры контроля доступа
к помещениям, кражи конфиденциальных документов или устройств.
2.
Угрозы внутренних сотрудников: несанкционированный доступ к
данным, утечка информации, злоупотребление привилегиями.
3.
Социальная
инженерия:
мошенничество,
фишинг,
обман
сотрудников для получения конфиденциальных данных.
4.
Недостаточная защита данных: утечка клиентской информации,
неправильное хранение или передача данных.
5.
Недостатки в процессах управления безопасностью: отсутствие
политик и процедур, недостаточное обучение сотрудников, отсутствие
регулярного аудита безопасности.
6.
Угрозы виртуальной инфраструктуры: кибератаки, DDoS-атаки,
компрометация виртуальных серверов.
Для решения проблем была выдвинута гипотеза: применение системы
видеонаблюдения, контроля доступа, систем сигнализации, биометрической
идентификации, а также разработка политик безопасности и проведение
обучения сотрудников помогут создать защищенную среду в банковском
учреждении, предотвратить несанкционированный доступ и мошенничество,
а также улучшить реакцию на возможные угрозы безопасности.
Теоретической основой работы служат труды отечественных и
зарубежных ученых в области IT-индустрии.
Для разработки курсового проекта были использованы следующие
законодательные и нормативные акты:
1. Федеральный закон от 27 июля 2006 года № 149-ФЗ "Об информации,
информационных технологиях и о защите информации
4
2. Приказ Федеральной службы по финансовым рынкам от 4 апреля 2008
года
№
07-105/пз-н
"Об
утверждении
Правил
обеспечения
информационной безопасности в банках Российской Федерации".
3. Руководящий документ Центрального банка Российской Федерации от
23 июля 2013 года № 3072-У "Организация и проведение контроля за
обеспечением информационной безопасности банков"
4. Международные стандарты безопасности информации, такие как
ISO/IEC 27001, ISO/IEC 27002 и другие.
5. Регламенты и положения о безопасности информационных систем
внутренних правил банка.
Это
лишь
некоторые
из
использованных
законодательных
и
нормативных актов для разработки курсового проекта на данную тему.
Курсовой проект состоит из 39 страниц печатного текста. Работа
включает введение, 7 рисунков, четыре главы, заключение, список
литературы и пять приложений. В первой главе рассматриваются общие
сведения о защите информации, основные угрозы и принципы построения
систем
защиты
информации.
Во
второй
главе
рассматривается
моделирование угроз информации в банковском учреждении. В третьей главе
производится моделирование мероприятий инженерно-технической защиты
информации. А в четвёртой главе рассчитывается оценка эффективности
защиты.
5
ГЛАВА 1. МОДЕЛИРОВАНИЕ ОБЪЕКТА ЗАЩИТЫ
1.1. Описание объекта защиты
Объект защиты представляет собой банковское учреждение, которое
осуществляет финансовые операции, включая прием и хранение денежных
средств, выдачу кредитов, проведение платежей и другие банковские
операции. Учреждение имеет физическое и информационное пространство,
включающее офисы, хранилища, серверные комнаты, банкоматы и системы
обработки данных.
Почти в каждом помещении банка происходит оборот ценной
информации, но наиболее охраняемой зоной является серверная комната и
депозитарий.
Сотрудники
имеют
ограниченный
доступ
к
данным
помещениям, здесь применяются все возможные меры безопасности,
включая контроль даже за тем персоналом, который имеет право доступа к
этим помещениям.
В серверной комнате находится большое количество аппаратуры, что
создаёт угрозу перехвата/утечки информации.
Перечень факторов, влияющих на организацию защиты банковского
учреждения:
1.
Конфиденциальность данных: Банковское учреждение обязано
обеспечивать высокий уровень конфиденциальности данных клиентов,
включая
персональную
информацию,
финансовые
данные,
историю
транзакций и другие конфиденциальные сведения. Факторы, такие как
защита от несанкционированного доступа, шифрование данных и контроль
доступа, играют решающую роль в обеспечении конфиденциальности.
2.
Целостность
гарантировать
данных:
целостность
Банковское
данных,
учреждение
чтобы
должно
предотвратить
несанкционированное изменение, подделку или повреждение информации.
Факторы, такие как системы обнаружения вторжений, контроль целостности
данных и резервное копирование, содействуют обеспечению целостности.
6
3.
Доступность
сервисов:
Банковское
учреждение
должно
обеспечить надежную доступность своих сервисов для клиентов.
4.
Законодательные требования: Банковское учреждение обязано
соблюдать требования и стандарты, установленные законодательством в
области информационной безопасности и защиты данных. Факторы, такие
как соответствие нормативным актам, аудит безопасности и управление
рисками, помогают банку соблюдать законодательство.
5.
Угрозы
внутреннего
и
внешнего
характера:
Банковское
учреждение подвержено угрозам как со стороны внутренних сотрудников
(несанкционированный доступ, внутренние мошенничества), так и со
стороны внешних атакующих (вредоносное программное обеспечение,
фишинг, DDoS-атаки и др.).
Здание объекта защиты представляет собой одноэтажное сооружение,
несущие стены которого кирпичные, толщиной 2 кирпича, а перегородки из
шлакоблоков, толщиной 250 мм. Его площадь составляет 600 м2. Сооружение
разделено на четыре функциональных блока: учетно-операционный блок
(площадью 300,8 м2), вычислительный центр (площадью 69,0 м2), кассовый
блок (площадью 37,6 м2), блок офисных помещений (площадью 31,5 м2)
которые разделены несущей стеной с усиленной шумоизоляцией. Чердак и
подвал отсутствуют.
План помещения банка приведён в приложении А.
Прилегающая территория представляет собой асфальтированную
площадку с растительностью, по периметру огороженную металлическим
забором. Размер территории составляет:
По ширине - 80 м;
По длине – 100 м.
Данная площадь предназначена для стоянки легковых автомобилей.
Въезд на территорию оснащен распашными железными воротами со
7
шлагбаумом. Проход на территорию предусмотрен непосредственно через
дверь в заборе.
План прилегающей территории представлен в приложении B.
Пространственная модель объекта – это модель пространственных зон
с указанным месторасположением источников защищаемой информации.
Представляет
собой
подробное
описание
помещения,
инженерных
конструкций, коммуникаций и средства связи, характеристику и основные
параметры электронных устройств, находящихся в этом помещении, а также
технических средств безопасности.
Пространственная
модель
контролируемых
зон
объекта
защиты
представлена в таблице 1.
Таблица 1. Пространственная модель контролируемых зон
№
п.п
1
1.1
1.2
1.3
Факторы влияния
Параметры
Общая характеристика помещения
Этаж
Один
Площадь, м 2
600
Смежные помещения
Нет
Таблица 2. Ограждения
№
п.п
Факторы влияния
Параметры
1
Наружная стена
Кирпичная, толщиной 2 кирпича
2
Перегородки
Гипсобетонная плита – 80 мм
3
Перегородки
Шлакобетонная панель – 250 мм
4
Потолок
Железобетонная плита толщиной 300 мм, оштукатуренный
5
Пол
Железобетонная плита толщиной 300 мм, покрытая паркетом
6
Окно
Количество – 13, ПВХ, толщина стекла – 3 мм, тройное
остекление, обращены во двор
7
Дверь
Количество – 23, дверь щитовая, облицованная фанерой с
двух сторон с прокладкой из пористой резины находится со
стороны зала ожиданий
8
Окна
выполняются
из
защитного остекления.
Для
сохранения
денежных средств стены кладовой ценностей и депозитария проектируются
из фибробетона толщиной 400мм со смотровым коридором шириной 800мм
для просмотра всего периметра кладовой. Вход в кладовые осуществляется
только через предкладовые. Остекление касс операционно-кассового узла
выполняется из бронестекла.
Таблица 3. Предметы мебели и интерьера
№
п.п
Факторы влияния
Параметры
1
Шкаф книжный
8 шт.
2
Стол приставной
4 шт.
3
Стол компьютерный
15 шт.
4
Стол письменный
15 шт.
5
Кресло кожаное офисное
20 шт.
6
Кресло кожаное
25 шт.
7
Кресло тканевое
30 шт.
8
Стул пластиковый
15 шт.
9
Диван
6 шт.
10 Журнальный столик
4 шт.
11 Тумбочка
16 шт.
12 Полка книжная
16 шт.
Таблица 4. Радиоэлектронные средства и электрические приборы
№
п.п
Факторы влияния
Параметры
ВТСС
1
Осветительная панель
На потолке
2
Люстра
На потолке
3
Светильник
На потолке
4
Светильник
Настенный
5
Светильник
Настольный
9
Таблица 4. Радиоэлектронные средства и электрические приборы.
Продолжение
№
п.п
Факторы влияния
Параметры
Средства коммуникации
6
Розетки электропитания
80 шт.
7
Электропроводка
1 распределительная коробка, скрытая в стене
1.2. Анализ информации
Для выбранного объекта защиты структурная модель защищаемой
информации, приведена в рисунке 1.
Рисунок 1. Структурная модель защищаемой информации
В рассматриваемом здании находится наиболее ценная информация,
содержащаяся на бумажных и (или) электронных носителях, следовательно,
данные сведения подлежат защите.
10
ГЛАВА 2. МОДЕЛИРОВАНИЕ УГРОЗ ИНФОРМАЦИИ
2.1. Моделирование угроз воздействия на источники информации
Информация подвергается угрозам воздействия и утечки. Данные
потенциальные угрозы существуют всегда, но их возможность многократно
возрастает, когда злоумышленник пытается проникнуть в организацию,
возникает очаг пожара или проявляются достаточно информативные
признаки, способствующие, в том числе, и формированию технических
каналов утечки информации.
При моделировании угроз воздействия прогнозируются маршруты
движения
злоумышленника
из
нулевого
состояния
вне
территории
организации к источникам информации в серверной комнате, оцениваются
параметры
(вероятность
и
время
реализациия)
отдельных
участков
маршрутов (дуг семантической сети). По ним оценивается возможный ущерб
и ранг (уровень) угроз.
Способы проникновения злоумышленника зависят от квалификации
злоумышленника, модели объектов защиты и времени проникновения.
Модель путей проникновения злоумышленника представлена на
рисунке 2.
Рисунок 2. Модель путей проникновения злоумышленника
11
По
результатам
моделирования
были
разработаны
возможные
сценарии проникновения злоумышленника в банк.
Время
проникновения
целесообразно
разделить
на
рабочее
и
нерабочее. Рабочее время характеризуется следующими условиями: пропуск
людей и автотранспорта производится через шлагбаум, оснащённый
камерами, извещатели технических средств охраны на территории и в здании
выключаются, входные двери в здание и помещения открывается для
возможности прохода.
Действующее лицо: Злоумышленник Алиса.
Характеристика злоумышленника:

Злоумышленник Алиса – опытный хакер и социальный инженер с
техническими навыками.

Обладает знаниями о банковской системе и процедурах безопасности.

Способен
анализировать
слабые
зоны
безопасности
и
искать
уязвимости.
Основные факторы, влияющие на успешное проникновение:
1. Информационная разведка: Алиса начинает сбор информации о банке,
его сотрудниках и системах безопасности. Это включает в себя
мониторинг социальных сетей, поиск вакансий и прочее.
2. Социальная инженерия: Алиса может представиться сотрудником
сторонней компании, например, под видом аудитора, и запросить
доступ к офису или серверной.
В дневное время (рабочее) Алиса может воспользоваться визитом в
банк, представившись контролером качества услуг или аудитором, чтобы
получить доступ к помещениям. Она может обращать внимание на слабые
точки, как отсутствие видеонаблюдения, недостаточно строгий контроль
доступа, а также попытаться убедить сотрудников предоставить ей доступ к
техническим помещениям или компьютерам.
12
В ночное время (не рабочее) Алиса может воспользоваться менее
охраняемыми зонами периметра, такими как окна или двери, которые могли
быть оставлены незапертыми или имеют слабые замки. Она может взломать
систему
безопасности,
выключить
системы
видеонаблюдения
и
аудиофиксации.
2.2. Моделирование возможных каналов утечки информации
Под техническим каналом утечки информации понимают совокупность
объекта разведки, технического средства разведки, с помощью которого
добывается информация об этом объекте, и физической среды, в которой
распространяется информационный сигнал.
Материально-вещественный канал утечки информации представляет
собой метод
утечки конфиденциальных данных,
который связан с
физическими и материальными аспектами среды.
Каналы утечки информации по физическим принципам можно
классифицировать на следующие группы:
 акустические (включая и акустопреобразовательные);
 визуально-оптические (наблюдение, фотографирование);
 электромагнитные (в том числе магнитные и электрические);
 материально-вещественные
(бумага,
фото,
магнитные
носители,
отходы и т.п.).
Классификация возможных каналов утечки информации приведена в
таблице 5.
Таблица 5. Классификация возможных каналов утечки информации
№
Канал утечки
п.п
1. Оптический канал
Характеристика
Окна со стороны двора
Окна с внешней стороны
Приоткрытая дверь
Экран монитора
2.
Акустический канал
Дверь
Стены помещения
13
Окна контролируемого помещения
Вентиляция
Система отопления
Таблица 5. Классификация возможных каналов утечки информации.
Продолжение
№
Канал утечки
п.п
3.
Радиоэлектронный канал
Характеристика
Розетки и кабели электропитания
Система пожарной сигнализации
Система вентиляции и кондиционирования
Телефонная проводка
Локальная вычислительная сеть
ПЭВМ
4.
Материально-вещественный канал
Документы на бумажных носителях
Персонал банка
Таблица 6. Граф структура возможных каналов утечки информации
№
Наименование
элемента
информации
Гриф
информации
Наименование
источника
информации
Местонахождение
источника информации
1. Оптический канал
1.1 Окна
ДСП
Разговоры
Внутри помещения
1.2 Двери
ДСП
Внешний вид
Снаружи помещения
1.3 Экран монитора
ДСП
Изображение
Внутри помещения
2. Радиоэлектронный канал
2.1 Сеть 220В
ДСП
Сеть 220В
Внутри помещения
2.2 Пожарная
сигнализация
ДСП
Сеть 20В
Внутри помещения
2.3 Вентилятор
ДСП
Сеть 24В
Внутри помещения
2.4 Вентилятор
ДСП
Сеть 220В
Внутри помещения
3. Акустический канал
3.1 Стены, дверь
ДСП
Разговоры
Внутри помещения
3.2 Вентиляция
ДСП
Разговоры
Внутри помещения
3.3 Окна
ДСП
Разговоры
Снаружи помещения
3.4 Система отопления
ДСП
Разговоры
Внутри помещения
14
4. Материально-вещественный канал
4.1 Компоненты
документов
ДСП
Мусор
Внутри помещения
2.3. Оценка степени угрозы защищаемой информации
Моделирование возможных каналов утечки информации ставит целью
анализ способов и путей хищения защищаемой информации. Оно включает:
 моделирование технических каналов утечки информации;
 моделирование способов физического проникновения злоумышленника
к источникам информации.
Наряду с основными техническими средствами, непосредственно
связанными с обработкой и передачей конфиденциальной информации,
необходимо учитывать и вспомогательные технические средства, и системы.
Наибольшую угрозу для данного объекта информации представляет
возможность утечки информации посредством акустического канала.
Возможные
места
установки
технических
средств
перехвата
информации представлены на рисунках 3, 4.
Рисунок 3. Возможные места установки технических средств перехвата
информации внутри помещения
15
Рисунок 4. Возможные места установки технических средств перехвата
информации со стороны улицы
Таблица 7. Модель получения информации по техническим каналам
№
п\п
Место
установки
Позиционное
место
установки
1.1 Просмотр
окна со
стороны
улицы
2.1 Внутреннее
помещение
2.2 Внутреннее
помещение
3.1 Оконная
рама
См рисунок 4
4.1 Розетка 220В
См рисунок 3
Закладное
устройство
5.1 Письменный
стол, стул
См рисунок 3
Закладное
устройство
См рисунок 3
См рисунок 3
См рисунок 3
Тип
устройства
съема
информации
Бинокль,
фотоаппарат
Вероятная
возможность
(способ)
установки
Автомобиль
Видеопередатчик
Аудиопередатчик
Микрофон
Персонал
предприятия
Персонал
предприятия
При
проведении
уборочных
работ
При
проведении
уборочных
работ
При
проведении
уборочных
работ,
посетителями
Технический
канал утечки
информации
Оптический
Радиоэлектронный
Радиоэлектронный
Радиоэлектронный
Радиоэлектронный
Акустический
16
№
п\п
Место
установки
Позиционное
место
установки
Тип
устройства
съема
информации
Закладное
устройство
5.2 Стол
директора
См рисунок 3
5.3 Шкаф, тумба
См рисунок 3
Закладное
устройство
6.1 Стены
См рисунок 3
Подслушивание
6.2 Внутреннее
помещение
См рисунок 3
Закладное
устройство
Вероятная
возможность
(способ)
установки
Подарочный
набор
директору
При
проведении
уборочных
работ,
посетителями
Соседние
помещения
Персонал
предприятия
Технический
канал утечки
информации
Акустический
Акустический
Акустический
Радиоэлектронный
17
ГЛАВА 3. МОДЕЛИРОВАНИЕ МЕРОПРИЯТИЙ
ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
3.1. Расчет зон распространения акустических и электромагнитных
волн на объекте защиты
Затухание акустической волны на границе контролируемой зоны зависит
от множества факторов, таких как конструкция помещения, материал стен,
тип и количество дверей и окон, наличие звукопоглощающих элементов и
т.п.
Расчет уровня акустического сигнала за ограждениями помещения
ведется по формуле:
Roг = Rрс + 6 + 10∙lg Soг – Koг дБ,
где Rрс – уровень речевого сигнала в помещении (перед ограждением),
дБ;
Sог – площадь ограждения, м2;
Koг – звукоизолирующая способность ограждения, дБ.
Уровень речевого сигнала в помещении примем равным 70 дБ (для
громкой речи), а звукоизолирующую способность для стен, дверей и окон
посмотрим
в
таблице
звукопоглощающих
свойств
строительных
конструкций при частотах звука 500 и 1000 Гц.
Для 500 Гц:
Rст1=70+6+10∙lg(1,9*2,5) - 59 = 24 дБ
Rст2=70+6+10∙lg(3,2*2,5) - 59 = 26 дБ
Rст3=70+6+10∙lg(4,9*2,5) - 59 = 28 дБ
Rст4=70+6+10∙lg(4,6*2,5) - 59 = 27 дБ
Rпер5=70+6+10∙lg(2,5*2,5) - 52 = 32 дБ
Rст6=70+6+10∙lg(2,3*2,5) - 52 = 31 дБ
Rст7=70+6+10∙lg(10*2,5) - 59 = 30,9 дБ
Rпер8=70+6+10∙lg(1,98*2,5) - 37 = 45,9 дБ
Rпер9=70+6+10∙lg(1,32*2,5) - 37 = 45 дБ
18
Для 1000 Гц:
Rст1=70+6+10∙lg(1,9*2,5) - 65 = 18 дБ
Rст2=70+6+10∙lg(3,2*2,5) - 65 = 20 дБ
Rст3=70+6+10lg(4,9*2,5) - 65 = 22 дБ
Rст4=70+6+10∙lg(4,6*2,5) - 65 = 21 дБ
Rпер5=70+6+10∙lg(2,5*2,5) - 56 = 28 дБ
Rст6=70+6+10∙lg(2,3*2,5) - 56 = 27 дБ
Rст7=70+6+10∙lg(10*2,5) - 65 = 24,9 дБ
Rпер8=70+6+10∙lg(1,98*2,5) - 36 = 46,9 дБ
Rпер9=70+6+10∙lg(1,32*2,5) - 36 = 45 дБ
Таблица 8. Уровень речевого сигнала
№
п\п
1.
Тип помещения
Приемная
Уровень акустического (речевого)
сигнала, дБ
24
18
2.
Кабинет управляющего
26
20
3.
Кабинет зам. управляющего
28
22
4.
Отдел безопасности
27
21
5.
Пультовая
32
28
6.
Сейфовая комната
31
27
7.
Отдел приемных продаж
30,9
24,9
8.
Кабина клиента
45,9
46,9
9.
Операционная касса
44
45
19
Из расчетов видно, что коэффициент поглощения ограждающих
конструкций не удовлетворяет рекомендуемым нормативам поглощения.
Следовательно, необходимо принимать меры такие, как улучшенная
звукоизоляция для защиты информации от утечки по акустическому каналу.
Так как в кабинете управляющего, отделе безопасности, отделе
приёмных
продаж,
пультовой
разговоры
не
всегда
носят
строго
конфиденциальный характер, целесообразно установить генераторы шума и
вибрационные датчики на окна. Это позволит избежать высоких затрат,
связанных с использованием звукопоглощающих средств.
3.2. Разработка модели скрытия вида деятельности организации
Таблица 9. Организационно технические мероприятия
№
п/п
Демаскирующий
признак
1.1
Проведение
переговоров
1.2
Прием
посетителей
Мероприятия по уменьшению (ослаблению) демаскирующих
признаков
I. Организационные мероприятия
1. При проведении переговоров закрывать двери
2. Установка звукопоглощающих материалов в переговорной
комнате
для
снижения
шума
и
сохранения
конфиденциальности
3. Использование
шумоподавляющих
или
шифрующих
устройств для защиты от прослушивания
4. Введение правил регулярной проверки и обновления систем
безопасности, включая просмотр и замену уязвимых точек
доступа или шифрования коммуникаций
5. Ограничение физического доступа в переговорную комнату
для
непрошедших
предварительную
проверку
или
неавторизованных лиц
6. Внедрение мер контроля доступа, таких как электронные
пропускные системы или использование биометрической
идентификации
7. Обучение сотрудников правилам конфиденциальности и
безопасности при проведении переговоров
8. Регулярный аудит безопасности переговорной комнаты и ее
оборудования для обнаружения и устранения уязвимостей
9. Использование безопасных каналов связи и защищенных
соединений при проведении видео- или аудиоконференций
1. Выключение сотового телефона и др. устройств, имеющих
функции записи, при посещении.
2. Определение области видимости камер видеонаблюдения,
чтобы избежать записи и незаконного доступа к данным
3. Установка знаков или предупреждающих сообщений о запрете
фото- и видеосъемки в зонах посещения.
4. Обучение сотрудников правилам конфиденциальности и
этикету при обслуживании посетителей
20
№
п/п
Демаскирующий
признак
2.1
Строительные
конструкции
здания
2.2
Контрольнопропускной
режим
Мероприятия по уменьшению (ослаблению) демаскирующих
признаков
5. Внедрение системы контроля доступа для обеспечения
ограниченного физического доступа посетителей
6. Регулярное обновление и проверка оборудования для
обнаружения прослушивания
7. Введение
обязательного
оформления
документов
у
посетителей для предоставления доступа в ограниченные зоны
8. Конфиденциальное обращение к посетителям, гарантирующее
нераспространение личной информации о них
II. Технические мероприятия
1. Нанесение на стекла пленки поглощающей ИК - излучение
2. Установка системы виброакустического зашумления стекол и
строительных конструкций при проведении специальных
мероприятий
3. Применение шумопоглощающих материалов и технологий для
снижения шума.
4. Исключение доступа сотрудников в смежные помещения при
проведении специальных мероприятий
5. Определение перечня сотрудников допускаемых для
проведения работ в смежных помещениях
6. Проведение проверки помещений
1. Установка шлагбаума на въезде на территорию банка
2. Разграничение зон доступа и контроль рабочего времени
персонала
3. Персонификация и контроль учётперемещения сотрудников и
посетителей
3.3. Разработка мероприятий по технической защите информации на
объекте защиты
Мероприятия по технической защите информации можно условно
разделить на три направления: пассивные, активные и комбинированные.
Пассивная
защита
подразумевает
обнаружение
и
локализацию
источников и каналов утечки информации.
Активная — создание помех, препятствующих съему информации.
Комбинированная — сочетает в себе использование двух предыдущих
направлений и является наиболее надежной.
Таблица 10. Устройства защиты информации от утечки
№
Место
п/п установки
Тип устройства защиты
Способ
Технический канал
информации
применения
закрытия утечки
информации
21
№
Место
п/п установки
Тип устройства защиты
Способ
Технический канал
информации
применения
закрытия утечки
информации
1.1
Окно
2.1
Дверь
Система акустических и
виброакуст-их помех «Буран»
Генератор шума ЛГШ-304
По решению
руководства
По решению
Виброаккустический
Акустический
руководства
3.1
Розетка
Фильтр сетевой
Постоянно
Акустический,
220 В
помехоподавляющий
включен
электрический
«ФСПК-100»
Рисунок 5. Система акустических и виброакустических помех «Буран»
Характеристики системы акустических и виброакустических помех
«Буран» представлены в таблице 11.
Таблица 11. Характеристики системы «Буран»
п/п
Параметр
Значение
1.
Диапазон рабочих частот
100 – 11 200 Гц
2.
Вид помехи
«белый» шум
3.
Диапазон
регулировки
интегрального
уровня 30
сигнала, дБ
- до 50 шт.
4.
Подключение преобразователей
(виброакустических – до 40
шт., акустических – до 10 шт.);
5.
Число помеховых каналов
3
6.
Габаритные размеры, мм
200 × 160 × 100
7.
Масса, кг
2,0
8.
Цена
67 500 руб.
22
Рисунок 6. Генератор шума ЛГШ-304
Характеристики генератора шума ЛГШ-304 представлены в таблице 12.
Таблица 12. Характеристики Генератора шума ЛГШ-304
п/п
1.
Параметр
Входное
напряжение
Значение
источника 220 В, 50 Гц
вторичного электропитания
2.
Напряжение питания основного блока
24 В
3.
Время непрерывной работы прибора
круглосуточно
4.
Масса, кг
0.4 (ЛГШ-403) / 0.4 (блок питания)
5.
Мощность, потребляемая от сети, Вт, 10
не более
6.
Напряжение питания, В
187 ÷ 242
7.
Средняя наработка на отказ
не менее 6000ч
8.
Цена
25 220 р.
Рисунок 7. Фильтр сетевой помехоподавляющий «ФСПК-100»
23
Характеристики фильтра сетевого помехоподавляющего «ФСПК-100»
представлены в таблице 13.
Таблица 13. Характеристики фильтра сетевого помехоподавляющего
«ФСПК-100»
п/п
Параметр
Значение
1.
Номинальный рабочий ток, А
не более 100
2.
Напряжение питания
220/380 В~ ± 10%, 50 Гц
3.
Защита информации от утечки за счет По 2 классу защиты
побочных электромагнитных наводок
на линии электропитания
4.
Общий уровень акустического шума не более 40
при максимальном токе, дБ
5.
Класс защиты по электробезопасности
Класс I согласно:
ГОСТ 12.2.007.0-75;
ГОСТ Р 12.1.019-2017 ССБТ
6.
Режим работы
Фильтр
допускает
непрерывную
круглосуточную работу
7.
Габаритные размеры
макс. 725 х 229 х 112 мм
8.
Масса
макс. 32 кг
9.
Цена
267 000 руб.
3.4. Разработка модели охранной и пожарной сигнализации объекта
(помещения)
Таблица 14. Номенклатура средств охранной и пожарной сигнализации
№
Наименование
п/п
Количество
Стоимость, руб.
I. Система охранной сигнализации
1.1
Датчик движения «Болид С2000-ИК исп.02»
12
22 512 руб.
1.2
Датчик разбития стекла (вибрации) акустический 12
31 200 руб.
Болид С2000-СТ ИСП.02
1.3
«С2000Р-Сирена светозвуковой оповещатель
1
12 891 руб.
Болид»
24
№
Наименование
п/п
1.4
Количество
Уличная IP камера «PV-IR212IPA» для наблюдения 5
Стоимость, руб.
36 445 руб.
за территорией перед входом в банк
1.5
Купольная антивандальная камера в металлическом 2
13 522 руб.
корпусе «PMD-IR210IP» для наблюдения в зоне
банкоматов
1.6
Купольная
камера
«PVD-IR412IPA»
высокого 4
40 952 руб.
разрешения 4Мп для наблюдения в кассе и записи
диалогов кассира с клиентами
1.7
Купольные IP камеры с разрешением 1.3Мп для 14
общего
наблюдения
за
ситуацией
в
65 604 руб.
банке
«PROvision MCI-1301D "Sigma"»
1.8
Тревожная кнопка «Болид С2000-КТ»
10
21 600 руб.
1.9
Громкоговоритель «Болид ОПР-У110.1»
2
13 782 руб.
1.10 Приемно-контрольный прибор «Болид С2000-БКИ» 1
31 550 руб.
II. Система пожарной сигнализации
2.1
Пожарный извещатель Болид ДИП 34А-03 (ИП 30
34 500 руб.
212-34А)
2.2
Извещатель пожарный ручной «Болид ИПР-513- 10
13 200 руб.
3АМ»
III. Система допуска сотрудников
3.1
Электромагнитный замок «ST-ML60-1»
17
19 550 руб.
3.2
Считыватель бесконтактный «Болид Proxy-5AG»
17
118 320 руб
ИТОГО
475 628 руб.
Планы размещения оборудования приведены в приложении E.
25
ГЛАВА 4. ОЦЕНКА ЭФФЕКТИВНОСТИ ЗАЩИТЫ
4.1. Оценка степени защиты информации на объекте
Оценки
угроз
информации
в
результате
проникновения
злоумышленника к источнику или ее утечки по техническому каналу
проводятся с учетом вероятности реализуемости рассматриваемого пути или
канала, а также цены соответствующего элемента информации.
Для каждой из угроз рассчитывается коэффициент опасности угроз y:
y = Z I q /F ,
где y - коэффициент опасности угрозы;
Z– стоимость бита информации (0,9);
I – объем «похищенной» информации (при реализации угрозы);
 F – полоса пропускания канала;
q – среднеспектральное отношение мощностей сигнала / помехи.
Таблица 15. Ранжирование каналов утечки акустической информации
Код
угрозы
Вид угрозы
F
q(дБ)
(кГц)
I(Мб)
y
Sp1
Вносимая или заранее установленная автономная
радиозакладка, в том числе с дистанционным
управлением ДУ
3,5
40
4,35х103 7,07
Sp2
Долговременная радиозакладка
питанием, в том числе с ДУ
3,5
40
6,3х104 102,5
Sp3
Контроль стен (стетоскопы)
3,5
10
1,57х104 12,8
Sp4
Использование вносимых диктофонов
3,5
40
1,05х103
1,7
Sp5
Направленные микрофоны
2,0
10
6х102
0,85
Sp6
Лазерный контроль оконных стекол
2,5
20
1,1х104
17,7
Sp7
Проводные (телефонные) закладки
3,5
20
3,14х104 36,1
с
сетевым
Аналогичным образом формируется (для данного помещения) спектр
сигнальных
угроз.
Коэффициенты
с
опасности
угроз
сигнальной
информации оценивается по формуле:
26
c =  Z I/b,
где Z – средняя стоимость информации (0,9)
I – общий объем информации по каналу ее утечки за время анализа Т
(принято, что Т = 1 год);
b – стоимость реализации угрозы;
Входящая в формулу величина I объема информации принималась
равной:
Для вариантов хищения информации с жесткого диска ЭВМ:
I  mI1 , – для вариантов копирования DVD дисков, где m – число DVD
дисков, а I1  4,2 – емкость DVD диска.
I = 4,2 * 1 = 4,2 Гб
Для вариантов видеоконтроля:
I  (lxm) Fk log 2 (1  q)T
где
lxm
– число элементов (число pixels) разрешения в поле
изображения;
Fk – частота кадров;
q – отношение сигнал/помеха;
Т – время штатной работы (хорошая видимость и др.).
Таблица 16. Ранжирование каналов утечки сигнальной информации
Код
yrpoз
Наименование угрозы
Т (час)
l xm
S1
Внешний (через окна) видео
контроль с
документированием
200
S2
Использование вносимых,
кратковременного действия
видеоконтрольных устройств
или микро фотокамер
100
Fk
q
(Гц) (дБ)
I
(Мб)
b
αc
300x300
25
10
5,3x106
104
5,0x108
300x300
25
40
4,1x106
103
3,9x109
Возможности инженерно-технических средств защиты информации
определяются
их
характеристиками
(уровнями
ослабления
сигналов,
27
уровнями создаваемых помех, уровнями экранировки и т.п.). Требования
должны учитывать специфику зон защиты, степень важности информации,
допустимый риск (допустимые потери) и др.
Применяются средства активной или пассивной защиты. Активные
средства создают помехи, а средства пассивной защиты ослабляют уровень
информационного сигнала. Применяют радиомониторинг с использованием
сканеров (от угроз вида Sp1, Sp2), зашумление стен (Sp3), труб системы
отопления (Sp4), магнитометры (обнаружение диктофонов) (Sp5), повышение
звукоизоляции окон и дверей и использование специальных жалюзей и штор
(Sp6), а также осмотр телефонных аппаратов и других средств связи (Sp7).
Для
защиты
информации
от
наблюдения
применяют
методы
энергетического скрытия:

шторы на окна;

жалюзи;

тонированные пленки на стеклах.
Шторы — традиционные средства для предотвращения скрытного
наблюдения через окна, но они существенно ухудшают естественную
освещенность кабинета и накапливают пыль.
Тонированные пленки на стеклах исключают возможность наблюдения
за
объектами
защиты
в
помещении,
незначительно
уменьшают
освещенность, но позволяют легко выявить окна помещений с повышенными
требованиями
к
безопасности
информации,
что
из-за
соображений
скрытности защиты делать не следует. Для обеспечения скрытности защиты
применять пленку надо на всех окнах, по крайней мере, этажа, а лучше
здания.
Наиболее приемлемый вариант защиты — применение жалюзи на
окнах. Они не только исключают возможность наблюдения через окно, но и
эффективны по основному назначению — защите от солнечных лучей.
28
4.2. Экономическая оценка стоимости средств защиты информации
Последнее, что необходимо сделать это выполнить экономическую
оценку реализации системы защиты, исходя из выбранного оборудования.
Таблица 17. Стоимостная оценка защиты информации объекта
№
Наименование
Количество
Стоимость
1.
Система акустических и виброакустических помех
«Буран»
1
67 500 руб.
2.
Генератор шума ЛГШ-304
4
100 880 руб.
3.
Фильтр сетевой помехоподавляющий «ФСПК-100»
1
267 000 руб.
4.
Датчик движения «Болид С2000-ИК исп.02»
12
22 512 руб.
12
31 200 руб.
1
12 891 руб.
5
36 445 руб.
2
13 522 руб.
4
40 952 руб.
14
65 604 руб.
Датчик разбития стекла (вибрации) акустический Болид
5.
С2000-СТ ИСП.02
6.
«С2000Р-Сирена светозвуковой оповещатель Болид»
Уличная IP камера «PV-IR212IPA» для наблюдения за
7.
территорией перед входом в банк
Купольная антивандальная камера в металлическом
8.
корпусе
«PMD-IR210IP»
для
наблюдения
в
зоне
банкоматов
Купольная
9.
камера
«PVD-IR412IPA»
высокого
разрешения 4Мп для наблюдения в кассе и записи
диалогов кассира с клиентами
Купольные IP камеры с разрешением 1.3Мп для общего
10.
наблюдения за ситуацией в банке «PROvision MCI1301D "Sigma"»
11.
Тревожная кнопка «Болид С2000-КТ»
10
21 600 руб.
12.
Громкоговоритель «Болид ОПР-У110.1»
2
13 782 руб.
13.
Приемно-контрольный прибор «Болид С2000-БКИ»
1
31 550 руб.
14.
Пожарный извещатель Болид ДИП 34А-03 (ИП 212-34А)
30
34 500 руб.
15.
Извещатель пожарный ручной «Болид ИПР-513-3АМ»
10
13 200 руб.
16.
Электромагнитный замок «ST-ML60-1»
17
19 550 руб.
17.
Считыватель бесконтактный «Болид Proxy-5AG»
17
118 320 руб.
ИТОГО:
911 008 руб.
29
ЗАКЛЮЧЕНИЕ
В заключение, разработка системы защиты банковского учреждения
является критически важной задачей, которая требует последовательного и
комплексного подхода. В ходе выполнения курсового проекта был изучен
ряд актуальных проблем, с которыми сталкиваются банки в контексте
информационной безопасности.
Проанализированы основные угрозы, а также определены уязвимости
банковской системы. На основе полученных результатов были предложены
меры по совершенствованию системы защиты, включающие в себя
технические и организационные аспекты.
Кроме того, в ходе работы сформулированы требования к системе
защиты банковского учреждения, а также разработаны соответствующие
аппаратные решения. Была проведена оценка эффективности предложенных
мер, а также проанализированы потенциальные риски и последствия
нарушения информационной безопасности.
В результате проведенных исследований можно сделать вывод о
необходимости
постоянного
совершенствования
системы
защиты
банковского учреждения в соответствии с появляющимися угрозами. Защита
информации
в
банковском
секторе
является
приоритетной
задачей,
поскольку безопасность средств и данных клиентов является ключевым
фактором доверия.
Технические и организационные меры, предложенные в данном
курсовом проекте, могут значительно повысить уровень информационной
безопасности банковского учреждения и уменьшить риски потенциальных
атак. Однако важно учитывать, что безопасность - это не внешняя мера, а
непрерывный процесс, который требует постоянного мониторинга и
обновления.
30
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Справочно-информационный портал «Банк России» - Центральный
банк Российской Федерации [Электронный ресурс]. – Режим доступа:
https://cbr.ru/
2. Справочно-информационный
портал
«Консорциум
кодекс»
-
актуальные правовые и нормативно-технические документы [Электронный
ресурс]. – Режим доступа: https://docs.cntd.ru/document/1200057516
3. Ю.
Родичев
"Нормативная
база
и
стандарты
в
области
информационной безопасности", 2017. – 256с.
4.
ГОСТ Р 51275-99 Защита информации. Объект информатизации.
Факторы, воздействующие на информацию. [Электронный ресурс]. – Режим
доступа: https://docs.cntd.ru/document/1200025597?ysclid=lpgwsuyspn505
5. Меньшаков Ю. К. Защита информации от технических средств
разведки. М.: Российск. гос. гуманит. ун-т, 2013
6. Баранова Е. К. Информационная безопасность и защита информации:
Учебное пособие/Баранова Е. К., Бабаш А. В., 3-е изд. - М.: ИЦ РИОР, НИЦ
ИНФРА-М, 2016
7. Требования по безопасности информации. Утверждены приказом
ФСТЭК России от 14 апреля 2023 г. N 64 [Электронный ресурс]. – Режим
доступа: https://legalacts.ru/doc/trebovanija-po-bezopasnosti-informatsii
8. Баранова Е. К. Моделирование системы защиты информации:
Практикум: Учебное пособие / Е.К.Баранова, А.В.Бабаш - М.: ИЦ РИОР:
НИЦ ИНФРА-М, 2015
9. ГОСТ Р 50739-95 Средства вычислительной техники. Защита от
несанкционированного
доступа
к
информации.
Общие
технические
требования. Госстандарт России, 1995 [Электронный ресурс]. – Режим
доступа: https://docs.cntd.ru/document/1200004675?ysclid=lpgwo50dyn3761345
10. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации,
информационных технологиях и о защите информации» [Электронный
31
ресурс].–
Режим
доступа:
https://www.consultant.ru/document/cons_doc_
LAW_61798/
11. Справочно-информационный портал «Novosibdom» - архитектура и
проектирование
[Электронный
ресурс].
–
Режим
доступа:
https://arx.novosibdom.ru/node/96
12. Приказ Федеральной службы по финансовым рынкам от 4 апреля 2008
года № 07-105/пз-н "Об утверждении Правил обеспечения информационной
безопасности в банках Российской Федерации". [Электронный ресурс]. –
Режим доступа: https://base.garant.ru/12161183/?ysclid=lpgwudtqja166404531
32
ПРИЛОЖЕНИЕ А
План помещения
33
ПРИЛОЖЕНИЕ Б
План прилегающей территории
34
ПРИЛОЖЕНИЕ В
Виды конструктивных элементов
35
ПРИЛОЖЕНИЕ Г
Структурная модель защищаемой информации
36
ПРИЛОЖЕНИЕ Д
Планы размещения оборудования
Места установки технических средств защиты информации от утечки
Места установки системы охранной сигнализации
37
Места установки системы пожарной сигнализации
Места установки системы допуска сотрудников
38