Merge branch 'master' of u22-26shishkova/TZI into master

Лекции/ПМ3.1/4.3.400_Системы_защиты_информации_от_утечки_по_вибрационному_каналу/4.3.400.md

@@ -0,0 +1,51 @@
+# Системы защиты информации от утечки по вибрационному каналу
+
+Системы защиты информации от утечки по вибрационному (виброакустическому) каналу — это технические средства, которые предотвращают неконтролируемое распространение сигнала по вибрационным колебаниям ограждающих конструкций и инженерных коммуникаций под воздействием звуковых волн. Такие системы актуальны для защиты помещений, в которых обрабатывается информация, содержащая государственную тайну, а также для организаций и учреждений, в которых ведутся конфиденциальные переговоры. 
+
+![](2.jpg)
+
+Виброакустический канал утечки информации основан на способности звуковой волны вызывать механические колебания в препятствиях, через которые она проходит при распространении. Для перехвата сигналов используются, например: 
+- несущие стены и перегородки;
+- перекрытия;
+- оконные рамы;
+- коробы дверных проёмов;
+- трубы тепло- и водоснабжения;
+- стёкла;
+- каналы вентиляции.
+
+Особенность виброакустического канала — перехват информации возможен не только из смежных помещений, но и из помещений, значительно удалённых от источника информации.
+
+![](3.jpg)
+
+Организационные меры
+
+- Исключение установки посторонних устройств на внешней стороне ограждающих конструкций и выходящих за пределы контролируемой зоны инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).
+- Оборудовать звукоизолирующими экранами элементы инженерно-технических систем отопления, вентиляции в защищаемом помещении.
+- Ограничивать на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров.
+
+Технические средства
+
+- Системы активного виброакустического зашумления (СВАЗ). Создают вибрационный маскирующий шум на доступных для разведки поверхностях ограждающих конструкций (окна, стены, полы, батареи, трубы и др.).
+- Генераторы белого или розового шума и системы вибрационного зашумления, укомплектованные, как правило, электромагнитными и пьезоэлектрическими вибропреобразователями.
+- Виброизлучатели разных типов, блокирующие вибрационные каналы утечки информации (стены, перекрытия, оконные рамы, прочие элементы строительной конструкции).
+
+Защитить информацию от утечки по вибрационному (виброакустическому) каналу можно с помощью пассивных мер и активных средств. Цель — ослабить акустический сигнал от источника звука, подающийся на коммуникации, где он может быть перехвачен. 
+Улучшение звукоизоляции помещений. Это направлено на локализацию источников акустических сигналов внутри помещений. Некоторые решения:
+Установка звукоизолирующих конструкций на виброизолирующих опорах. Звукоизолирующая способность конструкций рассчитывается с учётом нормативной разборчивости речи в пространстве между исходными и дополнительными конструкциями и санитарных норм на уровень побочных акустических шумов внутри помещения. 
+Использование шумоизоляционных жалюзи и звукозащитной плёнки для защиты окон.
+Создание дверей с двойными коробками и тамбурами. 
+Для стеклянных переговорных — использование материалов с включёнными между слоями электродами, которые маскируют вибрационный сигнал дополнительными электромагнитными шумами. 
+- Важно: при пассивной защите необходимо тщательно заделывать сквозные щели и отверстия, которые снижают звукоизоляцию. 
+
+Активные средства
+Создание маскирующих вибрационных шумовых помех средствам перехвата информации. Для этого используют:
+Генераторы белого или розового шума и системы вибрационного зашумления с электромагнитными и пьезоэлектрическими вибропреобразователями.
+Вибродатчики — их устанавливают на всех ограждающих конструкциях (стенах, потолке, полу), оконных стёклах, а также трубах, проходящих через помещение.
+
+Особенности:
+Наилучшие результаты даёт применение маскирующих колебаний, близких по спектральному составу информационному сигналу.
+Мощность шума автоматически повышается при усилении речи, что улучшает степень защиты.
+
+Источники:
+1)https://searchinform.ru/analitika-v-oblasti-ib/utechki-informatsii/sluchai-utechki-informatsii/vibroakusticheskij-kanal-utechki-informatsii/
+2)http://www.bnti.ru/showart.asp?aid=581&lvl=04.03.01.

Лекции/ПМ3.1/4.3.400_Системы_защиты_информации_от_утечки_по_вибрационному_каналу/вопросы.md

@@ -0,0 +1,8 @@
+Что такое виброакустический канал утечки информации?
+вибрационные колебания ограждающих конструкций и инженерных коммуникаций под воздействием звуковых волн.
+
+Какие конструкции используются для перехвата виброакустических сигналов?
+несущие стены и перегородки, перекрытия, оконные рамы, коробы дверных проёмов, стёкла, трубы тепло- и водоснабжения, каналы вентиляции.
+
+Какие устройства используются для получения и преобразования информации?
+стетоскопы, контактные микрофоны, способные преобразовать получаемую в виде механических колебаний информацию в акустический сигнал.

Лекции/ПМ3.1/5.2.100_Этапы_эксплуатации_технических_средств_защиты_информации/doklad.md

@@ -0,0 +1,54 @@
+# Этапы эксплуатации технических средств защиты информации.
+
+Эксплуатация технических средств защиты информации (СЗИ) включает несколько этапов: проектирование системы, установку средств, настройку и обслуживание. Эти этапы направлены на минимизацию рисков утечек, несанкционированного доступа и других угроз. 
+
+![](3.jpg)
+
+Проектирование
+
+Анализ рисков и проектирование системы. Включает аудит существующей ИТ-инфраструктуры, классификацию данных по степени конфиденциальности и оценку потенциальных угроз. Некоторые задачи: 
+- составление реестра информационных активов (серверы, базы данных, рабочие станции);
+- идентификация уязвимостей в сетевой архитектуре и политиках доступа;
+- расчёт потенциального ущерба от реализации угроз (финансового, репутационного).
+
+Результатом этапа становится техническое задание, определяющее перечень необходимых СЗИ, бюджет и сроки внедрения.
+
+Установка
+
+Выбор и сертификация средств. При подборе решений важно ориентироваться не только на функционал, но и на соответствие законодательным требованиям. Например, для работы с гостайной в России обязательна сертификация ФСТЭК, а средства криптозащиты должны иметь одобрение ФСБ.
+Установка и первичная настройка. Монтаж аппаратных средств требует участия сертифицированных специалистов, особенно при работе с экранирующими системами или генераторами шума. Для программных решений ключевые шаги включают: 
+- развёртывание на выделенных серверах или облачных платформах с соблюдением требований к отказоустойчивости;
+- настройку правил фильтрации трафика в межсетевых экранах;
+- создание политик DLP для контроля передачи данных через внешние каналы.
+На этом этапе также формируются резервные копии конфигураций на случай сбоев. 
+
+Настройка
+
+Тестирование и отладка. После установки СЗИ проводится комплексная проверка работоспособности всех компонентов. На этом этапе имитируются атаки (например, попытки перехвата данных или внедрения вредоносного кода), чтобы выявить слабые места в конфигурации. Для сетевых экранов проверяют корректность правил фильтрации, для DLP-систем — точность распознавания конфиденциальных данных в различных форматах.
+
+Обслуживание
+
+Мониторинг и сопровождение. Эксплуатация СЗИ включает непрерывный мониторинг угроз и адаптацию системы к изменяющимся условиям. Например, при переходе компании на облачные сервисы требуется перенастройка VPN-шлюзов и DLP-правил. 
+
+![](2.jpg) 
+
+Ежеквартально проводятся: 
+ анализ эффективности средств защиты на основе метрик (количество заблокированных атак, время реакции на инциденты);
+ аудит соответствия стандартам ISO 27001 или ГОСТ Р;
+ обновление криптографических ключей и сертификатов.
+
+Оптимизация и масштабирование. По мере роста компании или изменения законодательства инфраструктура защиты требует модернизации. Например, внедряются системы анализа поведения пользователей (UEBA) для выявления внутренних угроз, проводится интеграция с платформами машинного обучения для прогнозирования атак.
+
+![](1.jpg)  
+
+основные этапы эксплуатации средств защиты информации (СЗИ). Их выделяют пять:
+1. Подготовка СЗИ к вводу в эксплуатацию с учётом требований законодательства.
+2. Инсталляция и настройка СЗИ.
+3. Контроль работоспособности и регулярная проверка систем.
+4. Аудит безопасности и тестирование на проникновение с целью проверить надёжность СЗИ.
+5. Документирование процессов эксплуатации СЗИ в соответствии с отраслевыми регламентами.
+
+ИСточники:
+
+1.https://trinosoft.com/pages/is/omop.php
+2.https://rt-solar.ru/solar_method/blog/5722/

Лекции/ПМ3.1/5.2.100_Этапы_эксплуатации_технических_средств_защиты_информации/вопросы.md

@@ -0,0 +1,9 @@
+Какие работы входят в стадию внедрения системы защиты информации?
+установка и настройка средств защиты информации, разработка организационно-распорядительных документов, внедрение организационных мер защиты информации.
+
+Для чего проводится анализ уязвимостей информационной системы?
+для оценки возможности преодоления нарушителем системы защиты информации и предотвращения реализации угроз безопасности информации.
+
+Что включает опытная эксплуатация системы защиты информации? 
+проверку функционирования системы защиты информации, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации системы защиты информации. 
+