ВВЕДЕНИЕ …………………………………………………………...... 3

Глава 1. ОПИСАНИЕ ФИНАКАДЕМИИ И СИСТЕМЫ ВКС ……...

14

1.1. Структура Финакадемии …..…..………………………………….. 16

1.2. Подразделения по информационному обеспечению …………… 19

1.3. Нормативно-методическое обеспечение подразделений по информационному обеспечению ……………………………………………

21

1.4. Общее описание системы видеоконференцсвязи ……………….. 22

Глава 2. АНАЛИЗ СИСТЕМЫ ВИДЕОКОНФЕРЕНЦСВЯЗИ

25

2.1. Программно-аппаратное обеспечение системы ВКС .………….. 25

2.2. Технология функционирования системы ВКС ………………….. 40

2.3. Анализ нормативно-методических документов …...……………. 42

2.4. Описание каналов утечки конфиденциальной информации …… 44

2.5. Выявление и оценка достижений и недостатков ………………... 48

Глава 3. СОВЕРШЕНСТВОВАНИЕ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМЕ ВИДЕОКОНФЕРЕНЦСВЯЗИ …....................................………

59

3.1. Организационная защита информации .…………………………. 59

3.2. Нормативно-методическое обеспечение защиты информации ... 63

3.3. Устранение каналов утечки информации …...…………………... 65

ЗАКЛЮЧЕНИЕ ……………………………………………...……..…...

70

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ

73

ПРИЛОЖЕНИЯ ………………………………………………..……….

75

Общение при помощи видеоконференцсвязи (ВКС) позволяет увеличить эффект восприятия информации до 90% - во время сеанса участники могут не только видеть и слышать друг друга, но и обмениваться данными и обрабатывать их в режиме реального времени. По этой причине использование видеоконференцсвязи считается одним из мощнейших инструментов повышения эффективности бизнеса и представляет собой качественно новый уровень коммуникаций, объединяя технологические достижения в компьютерной области, телефонии и телевидении.

Тем не менее, в России системы ВКС продолжают оставаться востребованными в основном среди крупных компаний и предприятий.

На сегодняшний день автоматизированные системы (АС) являются основой обеспечения практически любых бизнес-процессов, в том числе и в государственных организациях. Вместе с тем, повсеместное использование АС для хранения, обработки и передачи информации приводит к обострению проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям.

По данным Министерства внутренних дел РФ количество компьютерных преступлений, связанных с несанкционированным доступом к конфиденциальной информации, увеличилось с шести сотен в 2000 году до семи тысяч в 2003 году . Рассматривая статистику компьютерных преступлений, приведенную выше, следует учитывать то, что данная информация устарела.

По сравнению с 2003 годом количество пользователей увеличилось, а следовательно, и увеличилась преступность за счет более изощренных методов проникновения.

Компания IDC (ведущая международная исследовательская и консалтинговая компания, работающая на рынке информационных технологий и телекоммуникаций) на конференции, посвященной вопросам «Информационной безопасности предприятия: анализ рисков, противостояние угрозам и проблемы регулирования», предоставила данные опроса 150 российских компаний в 2006 году, из которых следует, что наиболее серьезными проблемами, с которыми приходится сталкиваться сотрудникам ИТ в области обеспечения безопасности, являются ошибки сотрудников.

В 2007 году, на конференции, проведенной IDC в рамках вопроса защиты конфиденциальной информации, все специалисты, а также представители крупнейших организаций, предоставляющих услуги по обеспечению аудита и защите предприятия от НСД, без исключения разделяют мнение о том, что к вопросам по обеспечению безопасности информации внутри предприятия следует относиться гораздо серьезнее. Понятие информационной безопасности выходит за рамки подразделений, отвечающих за информационные технологии, и уже тесно связано с такими понятиями, как бизнес-процессы.

Если ранее пользователи автоматизированных систем сталкивались и боролись с хулиганами, которые взламывали системы ради забавы, то сейчас мы имеем дело с профессионалами, которые иногда имеют даже больше знаний и опыта, чем сотрудники ИТ.

Как отмечают многие исследовательские центры, более 80% всех инцидентов, связанных с нарушением информационной безопасности, вызваны внутренними угрозами, источниками которых являются легальные пользователи системы. Считается, что одной из наиболее опасных угроз является утечка хранящейся и обрабатываемой внутри АС конфиденциальной информации. Как правило, источниками таких угроз являются недобросовестные или ущемлённые в том или ином аспекте сотрудники компаний, которые своими действиями стремятся нанести организации финансовый или материальный ущерб. Всё это заставляет более пристально рассмотреть как возможные каналы утечки конфиденциальной информации, так и дать возможность ознакомиться со спектром технических решений, позволяющих предотвратить утечку данных.

При написании дипломной работы были использованы различные источники информации, разделенные на две подгруппы:

Опубликованные:

• Гришина Н.В. Организация комплексной системы защиты информации – М.: Гелиос АРВ, 2007. – 256 с., ил.

Рассматриваются вопросы организации системы защиты информации на предприятии. Определяются методологические подходы к технологии построения, принципы управления комплексной системой защиты информации (КСЗИ).

• Официальная статистика компьютерных преступлений, совершенных в Российской Федерации по данным ГИАЦ МВД России, 2004.

В системе органов внутренних дел ГИАЦ МВД России является головной организацией в областях:

– информационного обеспечения статистическими, оперативно-справочными, розыскными, криминалистическими, архивными и научно-техническими сведениями;

– оперативно-аналитического и информационного обеспечения оперативно-розыскной деятельности, а также информационного взаимодействия по обмену оперативной информацией с иными субъектами оперативно-розыскной деятельности;

– планирования, координации и контроля процессов создания, внедрения, использования, развития в системе МВД России современных информационных технологий, автоматизированных информационных систем общего пользования и оперативно-розыскного характера, интегрированных банков данных общего пользования, средств вычислительной техники и системного программного обеспечения к ним;

– ведения и развития Единой системы классификации и кодирования технико-экономической и социальной информации.

• Постановление Правительства Российской Федерации от 21 января 2006 г. №26 "О совершенствовании структуры Финансовой академии при Правительстве Российской Федерации".

Постановление, регламентирует создание, на основе федеральных государственных образовательных реорганизованных учреждений, филиалов Финакадемии.

• Устав Финакадемии при Правительстве РФ.

В данном источнике отражен свод правил, регулирующих организацию и порядок деятельности Финакадемии. Устав выполняет роль основного акта, определяющего задачи, принципы образования и деятельности данной организации.

• Федеральный закон "О коммерческой тайне" от 29 июля 2004 года № 98-ФЗ.

Настоящий Федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, составляющей секрет производства (ноу-хау).

Положения настоящего Федерального закона распространяются на информацию, составляющую коммерческую тайну, независимо от вида носителя, на котором она зафиксирована.

• Федеральный закон "О персональных данных" от 8 июля 2006 года № 149-ФЗ.

Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

• Федеральный закон "Об информации, информационных технологиях и защите информации" от 27 июля 2006 года № 149-ФЗ.

Данный федеральный закон , регулирует отношения, возникающие при:

– осуществлении права на поиск, получение, передачу, производство и распространение информации;

– применении информационных технологий;

– обеспечении защиты информации.

Также стоит отметить, что положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.

• Уголовный кодекс Российской Федерации от 13 июня 1996 года № 63-ФЗ.

Уголовное законодательство Российской Федерации состоит из настоящего Кодекса.

Настоящий Кодекс основывается на Конституции Российской Федерации и общепризнанных принципах и нормах международного права.

• Polycom MGC Administrator’s Guide 9.0.

Данный источник информации представляет собой руководство администратора, предназначенное для развертывания и настройки сервера MCU Polycom MGC-50.

• Polycom MGC User Guide 9.0 vol. I, II.

Данный источник информации представляет собой руководство пользователя, предназначенное для настройки и управления сервером многоточечной конференции MCU Polycom MGC-50.

• Polycom PathNavigator User Guide 7.0.

Данный источник информации представляет собой руководство администратора, предназначенное для развертывания и настройки контроллера зоны системы ВКС.

• TANDBERG 550 MXP User Manual.

Руководство пользователя терминального оборудования TANDBERG 550 MXP.

• TANDBERG 550 MXP Technical Description.

Углубленное техническое описание терминального оборудования TANDBERG 550 MXP.

• TANDBERG 770/880/990 MXP User Manual.

Руководство пользователя терминального оборудования TANDBERG 880 MXP.

• TANDBERG 770/880/990 MXP Technical Description.

Углубленное техническое описание терминального оборудования TANDBERG 880 MXP.

• TANDBERG Management Suite 12.0 Administrator Guide.

Данный источник информации представляет собой руководство администратора, предназначенное для развертывания и настройки сервера управления TANDBERG Management Suite 12.0 терминальным оборудованием системы ВКС.

Неопубликованные:

• Должностные инструкции сотрудников Управления технологий и прикладных систем Финансовой Академии при Правительстве РФ.

Инструкции сотрудников описывают общие положения, должностные обязанности, ответственность и квалификационные требования.

• Инструкция по охране труда для работников, занятых эксплуатацией персональных компьютеров.

В данной инструкции описаны общие требования охраны труда для работников, занятых эксплуатацией персональных компьютеров.

• Положение об Управлении технологий и прикладных систем Финансовой Академии при Правительстве РФ.

Это внутренний нормативный акт, конкретизирующий те или иные виды деятельности Управления, неоговоренные уставом.

• Распоряжение Финансовой академии при Правительстве РФ №320-1 от 21.11.2008 проректора по информационным технологиям и инновациям.

Данное распоряжение обязывает, с целью организации обучения профессорско-преподавательского состава и работников Финакадемии работе с информационно-технологическими продуктами, подать заявки и списки групп на обучение. В приложении к распоряжению содержится список курсов с кратким описанием содержания.

• Создание информационно-телекоммуникационной системы Финансовой Академии при Правительстве РФ. Технорабочий проект.

Данный проект разработан на основании и в соответствии с утвержденным «Техническим заданием на поставку оборудования и услуг, связанных с проектированием и последующей реализацией ЛВС, сети цифрового вещания и проектирования оптической сети Финансовой Академии при Правительстве России».

Дипломная работа включает в себя введение, три главы, заключение, список использованных источников и литературы, приложения.

Глава 1. В этой главе приведена структура Финакадемии и особенности системы ВКС – глава имеет описательный характер. Охарактеризовано предприятие и подразделения, отвечающие за информационное обеспечение Финакадемии, а также назначение и задачи, которые решает система ВКС.

Глава 2. Анализ системы видеоконференцсвязи – в данной главе детализируется текущее состояние системы ВКС применительно к вопросам защиты информации на различных уровнях (программно-аппаратный, нормативно-методический, организационный).

Глава 3. Совершенствование защиты информации в системе видеоконференцсвязи, в которой описываются основные направления развития защиты информации в системе видеоконференцсвязи и предложения по ее совершенствованию.

Цель дипломной работы состоит в выработке предложений и рекомендаций по вопросам реального повышения защищенности системы ВКС, а также в устранении каналов утечки конфиденциальной информации.

Исходя из этого, задачами дипломной работы являются:

• рассмотрение организационной структуры Финакадемии и подразделений по информационному обеспечению предприятия, с описанием основных функций ВКС;

• выявление особенностей работы системы ВКС на данном предприятии;

• анализ состояния защищенности системы ВКС;

• разработка и обоснование предложений по защите системы ВКС от утечки информации ограниченного распространения.

Система видеоконференцсвязи – это быстро развивающийся сегмент рынка, который внедряется, в основном, крупными интеграторами и требует значительных денежных вложений. Технологии, используемые в реализации системы видеоконференцсвязи, описаны только на сайтах производителей оборудования и в технической документации к готовому и внедренному проекту на предприятии.

Тема защиты информации в системе видеоконференцсвязи, безусловно исследуется в различных проектах, однако информация подобного рода является конфиденциальной и почти никогда не публикуется для широкой аудитории. Никаких примеров реализации и развертывания проектов систем ВКС в открытом доступе найти не представляется возможным, не говоря уже о защите информации в данных системах, за исключением технической документации, расположенной на сайтах производителей и содержащих информацию по отдельному конкретному продукту.

Актуальность проблемы по защите информации, передаваемой средствами системы ВКС, не нашла отражение в научной и справочной литературе, использованной при написании диплома. В данных работах, в основном, затрагиваются вопросы настройки аппаратно-программных составляющих системы ВКС.

Применение системы ВКС в Финакадемии ограничивается несколькими видами деятельности:

– совещаниями руководства Финакадемии, в лице ректора и проректоров;

– совещаниями с представителями кафедр и руководителями подразделений;

– вещанием аудио-видео информации на компьютеры пользователей Финакадемии;

– проведением основных этапов учебного процесса;

– проведением открытых конференций или совещаний с использованием проекторов, установленных в мультимедиа классах и залах проведения совещаний.

Состав аудио-видео информации, передаваемой средствами видеоконференцсвязи, определяется тематикой обсуждаемых вопросов, в соответствии с которой информация попадает под категории:

– коммерческая тайна – обсуждаемая информация содержит данные финансового характера, касающиеся Финакадемии.

Законодательство Российской Федерации определяет данный вид тайны, как «научно-техническую, технологическую, производственную, финансово-экономическую или иную информацию (в том числе, составляющую секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны» ;

– персональные данные – это «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация» .

Например: обсуждение определенного абитуриента, студента или сотрудника в сеансе связи между абонентами;

– служебная тайна, определение которой в законодательстве однозначно не определено. Вместе с тем анализ нормативных актов позволяет дать определение данному виду информации.

Служебная информация – это несекретная информация, касающаяся деятельности организации, ограничение на распространение которой диктуется служебной необходимостью;

– открытая – «к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен» .

Например: поздравление студентов и сотрудников с Новым Годом средствами системы ВКС.

Вследствие особенностей перечисленных категорий обрабатываемой информации, обеспечение ограничения доступа к информации необходимо.

Безопасность информации в вопросе, связанном с передачей и обработкой информации, в рамках ВКС очень важна, так как пользователями данной системы, помимо использования системы видеоконференцсвязи в целях повышения эффекта восприятия информации в рамках учебного процесса, являются руководители высшего звена Финансовой Академии в лице ректора и проректоров.

Учитывая богатый функционал, который предоставляет система ВКС (использование многоточечной конференции, персонального компьютера для демонстрации каких-либо документов, возможность вещания информации в Интернет, т.е. за пределы организации), необходимо повышать уровень защиты передаваемой информации на всех возможных рубежах, а так же осуществлять точную настройку и контроль за оборудованием и сотрудниками, осуществляющими настройку оборудования.

Официальная статистика компьютерных преступлений, совершенных в Российской Федерации по данным ГИАЦ МВД России, 2004.

Постановление Правительства Российской Федерации от 21 января 2006 г. № 26 "О совершенствовании структуры Финансовой академии при Правительстве Российской Федерации".

Федеральный закон "О коммерческой тайне" от 29 июля 2004 года № 98-ФЗ.

Федеральный закон "О персональных данных" от 8 июля 2006 года № 149-ФЗ.

Федеральный закон "Об информации, информационных технологиях и защите информации" от 27 июля 2006 года № 149-ФЗ.

Уголовный кодекс Российской Федерации от 13 июня 1996 года № 63-ФЗ.

Источники неопубликованные

Должностные инструкции сотрудников Управления информационно-технологической Инфраструктуры Финансовой Академии при Правительстве РФ.

Инструкция по охране труда для работников, занятых эксплуатацией персональных компьютеров.

Положение об Управлении информационно-технологической инфраструктуры Финансовой Академии при Правительстве РФ.

Распоряжение Финансовой академии при Правительстве РФ №320-1 от 21.11.2008 проректора по информационным технологиям и инновациям.

Создание информационно-телекоммуникационной системы Финансовой Академии при Правительстве РФ. Технорабочий проект.

Литература

Гришина Н.В. Организация комплексной системы защиты информации – М.: Гелиос АРВ, 2007. – 256 с., ил.

Электронные ресурсы

Устав Финакадемии при Правительстве РФ. – Режим доступа: http://www.fa.ru/ustav.asp

Polycom MGC Administrator’s Guide 9.0. – Режим доступа: http://www.polycom.com/common/documents/support/user/products/network/mgc_admin_guide_v90.pdf

Polycom MGC User Guide 9.0 vol. I. – Режим доступа: http://www.polycom.com/common/documents/support/user/products/network/mgc_user_guide_v90_vol_I.pdf

Polycom MGC User Guide 9.0 vol. II. – Режим доступа: http://www.polycom.com/common/documents/support/user/products/network/mgc_user_guide_v90_vol_II.pdf

Polycom PathNavigator User Guide 7.0. – Режим доступа: http://www.polycom.com/common/documents/support/setup_maintenance/products/network/pathnavigator_user_guide%207_0.pdf

TANDBERG 550 MXP User Manual. – Режим доступа: http://www.ivci.com/pdf/videoconferencing_tandberg_550_user_manual.pdf

TANDBERG 550 MXP Technical Description. – Режим доступа: http://www.tandberg.com/collateral/documentation/Detailed_Technical_Descriptions/TANDBERG_550_Technical_Description.pdf

TANDBERG 770/880/990 MXP User Manual. – Режим доступа: http://www.ivci.com/pdf/videoconferencing_tandberg_990_880_770_mxp_user_manual.pdf

TANDBERG 770/880/990 MXP Technical Description. – Режим доступа: http://www.tandberg.com/collateral/documentation/Detailed_Technical_Descriptions/TANDBERG_990_880_770_Technical_Description.pdf

TANDBERG Management Suite 12.0 Administrator Guide. – Режим доступа: http://www.tandberg.com/collateral/documentation/User_Manuals/ TANDBERG%20Management%20Suite%2012.0%20Administrators%20guide.pdf

Примечаний нет.