Проект создания защищенной лок выч сети предприятия с использованием программно- аппартных средств зашиты информации

Побочное электромагнитное излучение возникает в процессе обработки, передачи, размножения, хранения информации электронными, электрическими и радиотехническими устройствами, может быть принято специальными приемниками на расстоянии от источника и позволяет достоверно восстановить исходную обрабатываемую информацию. Например, для рабочих станций пользователей компьютерной техники средние расстояния уверенного приема побочных излучений в диапазоне частот 300-500 МГц составляют 50-70 метров.В качестве защиты от данного типа угроз в условиях АО ООО «Байт»предполагается использование экранирующей защитной плёнки R 20 SR CDF и R 15 GO SR HPR. На стекло нанесена металлизированная низкоэмиссионная (т. е. «энергосберегающая») пленка LE 35 SR CDFВ таблице 7 приведен перечень характеристик защитного слоя Таблица 7 - Характеристики защитного слоя от утечек по электромагнитному каналуПараметрЗначениеМаксимум частотного диапазона400-500МГцМаксимальная эффективность экранирования22-25дБКоэффициент снижения интенсивности сигнала15 разИнтенсивность пропущенного сигнала5Вт/м2Поверхностное сопротивление слоя30 ОмОценка эффективности электромагнитного экранирования защитных пленок производилась в экранированном помещении.Изменения проводились с помощью анализатора спектра HEWLETT PACKARD 85 60 Е и антенны АРК — А6 [10].Как показано в результате измерений, параметры защиты от утечек по электромагнитному каналу соответствуют требуемым согласно ГОСТ Р 52447-2005.4. Вещественный каналВ условиях АО ООО «Байт» утечки по вещественным каналам могут быть обусловлены следующими факторами:- утечка записей в утилизируемых документах на бумажных носителях;- утилизация электронных (машинных) носителей информации;- утечка черновиков документов;- нарушение регламентов документооборота со стороны сотрудников;- возможность проникновения на объект специалистов сторонних организаций.Система защиты от утечек подобного типа в условиях ООО «Байт» построена на следующих принципах:- технологический принцип (использование средств гарантированного уничтожения данных с электронных носителей, а также устройств для уничтожения документов на бумажных носителях);- организационный принцип (создание организационной структуры и нормативной базы, регламентирующей систему документооборота и правила защиты информации).В качестве системы гарантированного уничтожения данных с электронных носителей используется «Импульс 6В», работающий с носителями информации различного типа: жесткие диски (IDE, SATA, SCSI), flash-накопители, оптические диски, дискеты. Для уничтожения бумажных документов используются шредеры FellowesShredmate.Также предлагается установка собственной системы видеонаблюдения. В качестве системы управления предлагается использование ПК «Орион», схема которого приведена на рисунке 14.Рисунок – Принципиальная схема ПК «Орион»Параметры устанавливаемой аппаратуры приведены в таблице 8.Таблица 8 – Параметры устанавливаемой аппаратуры системы видеонаблюденияЦветная купольная видеокамера AV Tech MC262840/2270 руб.600 ТВЛ./0,1 Лк./3.6 ммИК-подсветка до 15 м.Матрица: H.R. Color CCD, 1/3 дюйма.Число эффективных пикселей (PAL): 752*582.Функция «день-ночь»,AES, AGC, AWB, BLC,Видеосигнал: композитный, 1 В, 75 Ом.STR-1688 Цифровой видеорегистратор H.264; 16 каналов45794.18Выходы мониторов:1 BNC, 1 VGASpot-вых: 4 BNCАудио: 16/1Тревожные: 16 TTL / 4 релейны + 12 TTLTCP/IP; HTTP; DHCP400 изобр./сек (352x288)200 изобр./сек (720x288)100 изобр./сек (720x576)/ H.264План охранно-пожарной сигнализации для выделенного помещения приведен на рисунке 6.Рисунок - План охранно-пожарной сигнализации для выделенного помещенияНа рисунке 16 приведена система видеонаблюдения офиса компании.Рисунок - Система видеонаблюдения офиса компанииОдним из видов технических каналов утечки информации является канал, обусловленный схемотехническими доработками различных технологических устройств с целью усиления сигналов, поступающих из защищаемого помещения. Усиливаемые сигналы могут быть по своей природе как акустическими, так и электромагнитными или световыми. Примерами подобного рода доработок могут служить: усиление чувствительности микрофонов в телефонных трубках, web-камерах, изменение свойств пропускной способности тонированных покрытий и др.Обычно такие устройства используют в том случае, когда информация, циркулирующая в защищаемом помещении, носит определенную степень секретности, либо содержит элементы коммерческой тайны, разглашение которой дает возможности получения значительных конкурентных преимуществ на рынке.Для проверки наличия подобных доработок, как правило, необходимо проведение экспертизы специалистами сторонних организаций. Причем экспертизы подобного рода должны проводиться с определенной периодичностью.Комплекс мероприятий по выявлению и обезвреживанию устройств, производящих усиление сигналов, предполагает выполнение большого количества мероприятий, к которым можно отнести:- прием-передачу технических средств, формирование исходнойинформации для составления программы проведения специальных проверок;- проектирование мероприятий по проведению специальных проверок технических средств;- проведение технических проверок;- проведение анализа результатов проведенных проверок с оформлением отчетной документации.При проведении специальных проверок на наличие схемотехнических или иных доработок технические средства предоставляются в полной комплектации, с штатной упаковкой, в рабочем состоянии. Передачатехнических средств на экспертизу производится с оформлением акта приема-передачи. Акт подписывается только после проведения обязательной проверки работоспособности (исправности) технического средства. Если средство находится в неисправном состоянии, экспертиза наличия схемотехнических доработок не проводится.Представители Заказчика кроме технического средства предоставляют исходнуюинформацию, необходимую для разработки методики проведения специальной экспертизы.Исходная информация предоставляется в следующем формате:- данные о технических средствах;- данные о профиле его использования;- данные о месте его размещения.Информация о техническом средстве включает в себя: данные о его назначении и полной комплектации; документация на техническое средство; данные о поставщике с полными его реквизитами.Данные о планируемом использовании должны отвечать на следующие вопросы:- существуют ли планы использования устройства при обработке конфиденциальной информации;- информация о наличии грифа секретности;- наличие о высшем грифе секретности обрабатываемых данных в помещении, где установлено устройство;- в комплект какой системы входит исследуемой устройство;- какие коммуникационные системы использует устройство.Информация о планировании места размещения технических средств включает в себя: описание объекта, где планируется использование технического средства; перечень видов конфиденциальной информации, обрабатываемой в помещении; значения минимального расстояния до границы контролируемых зон (КЗ); размещены ли вблизи КЗ посольства, представительства и иные места постоянного или временного пребывания иностранных граждан по отношению к КЗ; возможность и периодичность пребывания иностранных делегаций на объекте.Дополнительно могут быть представлены любые сведения, которые могут способствовать составлению списка специальных электронных устройств, потенциально внедряемых в исследуемое техническое средство.Методология программы проведения специальных проверокпредполагает, что внедрение каждого специального электронного устройства, содержащего схемотехнические или иные доработки, имеет цель получения вполне конкретных данных или выведения из строя важных систем (технических средств).Полученные документыподвергаются изучению и анализу по схемотехническим и конструктивно-техническим принципам построения исследуемых технических средств, а также их элементной базы, способов представления и обработки данных в целяхопределения узлов, блоков и цепей, гдепроходит обрабатываемая информация, а также цепей электропитания узлов, блоков и элементов технического средства.По результатам анализа исходнойинформации, конструктивно-технических принципов проектирования и на основе классификации специальных электронных устройств проводится определение перечня естественных каналов утечки данных, которые возможно внедрены в систему с помощью проведения схемотехнических или иных доработок.В случае отсутствия исходнойинформации о техническом средстве организация, производящая экспертизу, должна исходить из возможности использования злоумышленником противником всего спектра специальных электронных устройств (СЭУ).Дальнейший этап проведения экспертизы наличия СЭУ предполагает составление программы проведения специальной экспертизы технического средства, определяющей алгоритм определения демаскирующих признаков СЭУ и возможности их непосредственного выявления. Оформление результатов производится в специальном журнале, где фиксируются результаты проведения экспертизы. Запись должны заверяться подписью руководителя экспертной группы.Проведение специальных проверок на наличие схемотехнических или иных доработокосуществляется в рамках разработанной программыв целях выявления демаскирующих признаков и возможно установленных СЭУ, анализих применимости и возможности физического обнаружения. Результаты специальных проверок, включающие перечень демаскирующих признаков, могут быть дополнены илиоткорректированы.Типовой набор действий в рамках проведения технических проверок предполагает выполнение работ:- дозиметрического контроля изделий в таре для обнаружения радиоактивных меток и радиоизотопных источников питания;- вихретокового контроля объектов (узлов) технических средств обработки и передачи информации, не содержащих металлических элементов;- контроля тары, не содержащей полупроводниковых элементов, с помощью прибора нелинейной локации (при необходимости рентгеноскопический контроль) в целях выявления СЭУ, используемых как «маяки»;- проведениярадиоконтроляв целях выявления демаскирующих признаков активных СЭУ;- проверки возможности проведения высокочастотного навязывания элементам технического средства;- разборку технических средств, осмотр его комплектующих и узлов в целяхопределения отклонений в схемотехнических и конструктивных решениях;- электротехнических измерений параметров элементов и узлов технических средств в целяхопределения наличия демаскирующих признаков СЭУ, проявляющихся в отклонении импеданса;- контролясоставляющих и компонент технических средств, не имеющих в своем составе полупроводниковых элементов, устройством нелинейной локации (в случае необходимости проведения рентгеноскопического или рентгенографического контроля);- рентгенографии или рентгеноскопии компонентов и узлов технических средств в целяхопределения наличия схемных изменений в элементах и неразборных узлах технического средства;- расшифровки рентгеновских снимков и проведение визуально-оптического контроля внешнего вида и внутренней структуры узлов и элементов технических средств;- сборки технического средства и контроль работоспособности. Метод и средства дозиметрического контроля (ДК) должны обеспечивать:- измерения уровня гамма-излучения от возможно установленных «радиоактивных меток» в диапазоне энергий от 30 кэВ до 3000 кэВ с чувствительностью не хуже 3 мкР/ч;- выявления «радиоактивных меток», активность которых не выше минимально значимых величин, установленных нормами радиационной безопасности (НРБ-99), и РИТЭГ по трехкратному превышению интегрального уровня естественного радиационного фона при сканировании объекта контроля со скоростью не хуже 10 см/с на расстоянии не более 10 см от его поверхности;- возможности пространственной локализации «радиоактивных меток» и РИТЭГ с точностью не хуже 1 см;- наличия звуковых и световых индикаторов для определения превышенного порога фоновых значений.Таким образом, задачи совершенствования системы обеспечения информационной безопасности в условиях ООО «Байт» являются выполненными.Как показано выше, проектирование инженерно-технической системы защиты информации в пределах контролируемой зоны требуется анализ большого количества факторов, мониторинг состояния системы в режиме реального времени. Для решения задач автоматизации было проведено внедрение информационной системы учета параметров защиты информации на предприятии, которая должна включать в себя:- набор нормативных документов федерального законодательства в области защиты информации;- библиотеку локальных нормативных актов предприятия в области защиты информации;- техническую документацию к используемым программным решениями в области защиты информации;- библиотеку технических и строительных документов предприятия.3. Проектная часть3.1 Внедрение КСЗИ «Панцирь-К» в систему защиты локальной сети ООО «Байт»Одним из видов уязвимостей в информационной системе ООО «Байт» является возможность использования встроенных учетных записей, а также учетных записей специалистов на любой рабочей станции пользователя. Для решения данных проблем предлагается в дополнение к антивирусным средствам использование КСЗИ «Панцирь-К», которое также позволяет предотвращать вирусную активность.На рисунке 17 приведено окно запуска системы КСЗИ «Панцирь-К». Данное ПО позволяет производить контроль целостности системных файлов в случае, когда все же вирусное заражение произошло, активность вирусного ПО автоматически блокируется. Для разбора событий, связанных с активностью вредоносного ПО существует возможность протоколировать ввод данных с клавиатуры, а также снимков с экрана (Рисунок 18).Рисунок - Окно запуска КСЗИ «Панцирь-К»Рисунок - Настройки контроля целостностиРисунок - Настройка аудита действий пользователяТаким образом, в случае возникновения инцидентов, связанных с вирусным заражением по вине пользователя, существует возможность предъявления протоколов его действий.Настройка параметров контроля пользовательских и встроенных учетных записей показана на рисунке 20. Данный режиме имеет возможность для настройки типов авторизации пользователя в системе – путем ввода пароля с консоли через использование смарт-карт, а также возможен контроль активности встроенных учетных записей, которые могут использоваться вредоносными программами.Таким образом, даже в случае вирусного заражения, возможно блокирование активности вредоносного ПО, которое использует встроенные учетные записи.Рисунок - Настройка контроля учетных записей пользователейДанное ПО имеет возможности по управлению доступом к:- сетевым ресурсам;- буферу обмена;- подключенным устройствам;- файловой системе;- другим ресурсам.Также блокируется активность вредоносных программ, функционал которых связан с использованием указанных ресурсов.Рисунок - Параметры управления доступом к ресурсам системыТакже имеются возможности по управлению использованием файла подкачки, который также могут использовать вредоносные программы.Рисунок - Дополнительные настройки3.2. Совершенствование антивирусной защиты в условиях ООО «Байт»Устранение недостатков действующей системы антивирусной защиты АИС ООО «Байт» предполагает принятие ряда технических и технологических мер, перечень которых приведен в таблице 3.1.Совершенствование системы АВЗ в условиях АИС ООО "Байт" предполагается в следующих направлениях:- возможность оптимизации архитектуры АВЗ с использованием существующих решений на базе KasperskyEndPointSecurity;- установку дополнительных антивирусных решений;- установку систем, обеспечивающих дополнительные уровни защиты.Таблица 3.1 - Перечень мероприятий по совершенствованию технологии антивирусной защиты в условиях ООО «Байт»Вид деятельностиСуществующая технологияПредлагаемая технологияИспользование внешних носителей информацииСпециалистами используются учтенные внешние носители информации после предварительной их проверки с использованием средств Антивируса КасперскогоУстановка выделенной дополнительной рабочей станции, используемой для проверки внешних носителей, использующей для проверки средства ПО DrWebSecuritySpace, отключение возможности чтения данных с внешних носителей на рабочих станцияхРабота специалистов в сети ИнтернетСпециалистам открыт доступ к Интернету, регулируемый администраторами на уровне прокси-сервераИспользование дополнительных решений - включение Web-фильтров, системы защиты от спамаАвтозапуск ПОИспользование автозапуска специалистами для возможности работы с прикладным ПО, что повышает уязвимость системыОтключение системы автозапуска средствами KasperskyEndPointSecurityКонтроль учетных записейКаждый из сотрудников со своей доменной учетной записью может получить доступ к любой рабочей станции в локальной сети ООО "Байт", не отключены встроенные учетные записи Гостя и АдминистратораОграничения прав учетных записей с использованием специального ПО, отключение встроенных учетных записей ГостяИспользование встроенной учетной записи администратораНа каждом компьютере возможна авторизация вход под локальным администратором без ввода пароля, что потенциально может использоваться вредоносным ПОУстановка пароля для встроенной учетной записи администратораИспользование файла подкачкиНа рабочих станциях пользователей используется файл подкачки, что потенциально повышает уязвимость системыОчистка файла подкачки при каждой перезагрузке системы с использованием специальных средств Схема совершенствования АВЗ, связанного с внедрением выделенного компьютера для проверки внешних носителей, показана на рисунке 16.Рисунок 7 - Система использования выделенной рабочей станции для проверки внешних носителей информацииРисунок - Алгоритм использования внешних носителей информацииВ рамках предлагаемых вариантов совершенствования АВЗ, все внешние носители информации подлежат проверке на выделенной рабочей станции с установленным ПО DrWeb, после чего пользователь производит выбор необходимых ему для работы файлов и по протоколу FTP осуществляет копирование их на выделенный сетевой ресурс в локальной сети информационной системы ООО «Байт». Выделенная рабочая станция не включается в домен, не имеет подключенных сетевых дисков, имеет связь с остальными ресурсами сети только по FTP, каталоги которого на сервере проверяются средствами KasperskyEndPointSecurity, что минимизирует вероятность вирусного заражения с данного компьютера. Также, предлагается провести рассмотрение вопроса о возможности проведения копирования на FTP-сервер в автоматическом режиме файлов, имеющих только определенные расширения (соответствующие отчетной документации), что позволит не проводить обращений к потенциально заражаемым объектам.Таким образом, включение одновременно двух антивирусных решений в информационную систему не приведет к дополнительным нагрузкам на вычислительные мощности, и, в то же время, минимизирует вероятность вирусного заражения, не включенного в сигнатуры одного из антивирусов. Блокирование USB-портов для использования внешних носителей также повысит уровень общей защищенности системы. ЗаключениеПолитика информационной безопасности в информационных системах предприятий имеет множество аспектов и в рамках одной дипломной работы невозможно охарактеризовать ее в полном объеме.В рамках данной работы рассмотрены анализа системы хащиты информации в условиях информационной системы ООО «Байт».В ходе работы над проектом был проведен анализ архитектуры системы информационной безопасности предприятия. Показано, что комплексная система защиты информации включает в себя организационных и технологические решения. Пренебрежение каким-либо из компонент комплексной системы защиты информации повышает уязвимость информационной системы в целом.Далее был проведен анализ системы информационной безопасности в условиях информационной системы предприятия. Показано, что в существующей системе, основанной на корпоративных решениях от Лаборатории Касперского, защищенность системы хоть и является удовлетворительной, но отмечаются случаи активного вирусного заражения. Для проведения анализа существующей системы антивирусной защиты был проведен сбор статистической отчетности о состоянии антивирусной защиты на предприятии средствами KasperskySecurityCenter. Показано, что в существующей системе антивирусной защиты отмечаются многочисленные факты обнаружения вредоносного ПО на внешних носителях информации, а также, связанных с работой с ресурсами Интернета. Отмечены случаи, когда защита не срабатывало и происходили активные заражения системы, которые приходилось лечить с использованием стороннего антивирусного ПО.В качестве мер совершенствования системы антивирусной защиты были предложены:- регулирование доступа к ресурсам Интернета средствами KasperskySecurityCenter;- ограничение использования внешних носителей информации, ограничение использования USB-портов;- установка рабочей станции для проверки внешних носителей информации и копирования необходимых файлов с них на выделенный ресурс;- введение системы рейтинговой оценки состояния антивирусной защиты в разрезе подразделений;- использование системы КСЗИ «Панцирь-К» для совершенствования системы информационной безопасности.Статистические данные о вирусной активности после внедрения указанных мер совершенствования системы АВЗ показали, что случаи обнаружения вредоносного ПО стали единичными.Список использованных источников1. Жадаев А. Антивирусная защита ПК. От "чайника" к пользователю. – СПб.: БХВ-Петербург, 2011 – 224с. 2.Петренко С.А. Политики безопасности компании при работе в интернете/ С.А. Петренко, В.А.Курбатов – М.: ДМК Пресс, 2011 – 311с.3. Свинарёв Н.А. Инструментальный контроль и защита информации. – М.: ВГУИТ, 2013 – 192с.4. Милославская Н.М., Сенаторов М.В., Толстой А.А. Управление рисками информационной безопасности. – М.: Горячая линия-Телеком, 2014. – 410с.5. Блинов А.М. Информационная безопасность. – СПб: СПбГУЭФ, 2011 - 96с.6. Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2011 – 338с.7. Стефанюк В.Л. Локальная организация интеллектуальных систем. – М.: Наука, 2014. - 574 c.8. Якубайтис Э.А. Информационные сети и системы: Справочная книга.- М.: Финансы и статистика, 2011. – 232с.9. Разработка инфраструктуры сетевых служб Microsoft Windows Server 2008. Учебный курс MCSE М.: Bзд-во Русская редакция, 2009. 10. Сосински Б., Дж. Московиц Дж. Windows 2008 Server за 24 часа. – М.: Издательский дом Вильямс, 2008. 11. NIST SP800-122 «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)», BS10012:2009 «Data protection – Specification for a personal information management system», ISO 25237:2008 «Health informatics – Pseudonymization»Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сГук М. Аппаратные средства локальных сетей. Энциклопедия. – СПб.: Питер, 2010. – 576с.Иопа, Н. И. Информатика: (для технических специальностей): учебное пособие– Москва: КноРус, 2011. – 469 с. Акулов, О. А., Медведев, Н. В. Информатика. Базовый курс: учебник – Москва: Омега-Л, 2010. – 557 с.Лапонина О.Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия Интернет-университет информационных технологий - ИНТУИТ.ру, 2012МогилевА.В.. Информатика: Учебное пособие для вузов - М.: Изд. центр "Академия", 2011Партыка Т.Л. Операционные системы и оболочки. - М.: Форум, 2011Под ред. проф. Н.В. Макаровой: Информатика и ИКТ. - СПб.: Питер, 2011Новиков Ю. В., Кондратенко С. В. Основы локальных сетей. КуПК лекций. – СПб.:Интуит, 2012. – 360с.Ташков П.А. Защита компьютера на 100%. - СПб.: Питер, 2011 Самоучитель Microsoft Windows XP. Все об использовании и настройках. Изд. 2-е, перераб. и доп. М. Д. Матвеев, М. В. Юдин, А.В. Куприянова. Под ред. М. В. Финкова.– СПб.: Наука и Техника, 2011. – 624 с.: ил.Хорев П.Б. Методы и средства защиты информации в компьютерных системах. – М.: Академия, 2011. – 256 с.ПриложениеИдентификация уязвимостей предметной областиГруппа уязвимостейДокументы налогового учетаБазы данных фирм-клиентовКриптографические системы1С: БухгалтерияСервераСодержание уязвимости1. Среда и инфраструктураОтсутствие физической защиты зданий, дверей и оконвысокаявысокаявысокаявысокаявысокаяНестабильность функционирования электропитания (колебания напряжения или полное отключение электроэнергии)средняявысокаявысокаявысокаясредняя2. Аппаратное обеспечениеОтсутствие схем периодической заменысредняявысокаясредняясредняясредняяПодверженность колебаниям напряжениянизкаянизкаянизкаянизкаясредняяПодверженность воздействию влаги, пыли, загрязнениянизкаянизкаянизкаянизкаясредняяЧувствительность к воздействию электромагнитного излучениянизкаянизкаянизкаясредняясредняяОтсутствие контроля за эффективным изменением конфигурациинизкаянизкаянизкаясредняясредняя3. Программное обеспечениеНеясные или неполные технические требования к разработке средств программного обеспечениявысокаявысокаянизкаянизкаявысокаяОтсутствие тестирования или недостаточное тестирование программного обеспечениянизкаянизкаянизкаясредняянизкаяГруппа уязвимостейСодержание уязвимостиСложный пользовательский интерфейссредняявысокаясредняясредняясредняяОтсутствие механизмов идентификации и аутентификации, например аутентификации пользователейсредняянизкаясредняянизкаянизкаяОтсутствие аудиторской проверкинизкаянизкаянизкаясредняянизкаяХорошо известные дефекты программного обеспечениянизкаянизкаянизкаясредняясредняяНезащищенные таблицы паролейсредняясредняясредняясредняясредняя4. КоммуникацииНезащищенные линии связисредняясредняявысокаявысокаявысокаяНеудовлетворительная стыковка кабелейвысокаявысокаявысокаявысокаявысокаяПересылка паролей открытым текстомвысокаявысокаявысокаявысокаявысокаяНезащищенные потоки конфиденциальной информациисредняясредняявысокаявысокаявысокаяНезащищенные подключения к сетям общего пользованиясредняясредняявысокаявысокаявысокая5. Документы (документооборот)Хищение документоввысокаявысокаянизкаянизкаясредняя6. ПерсоналНедостаточная подготовка персонала по вопросам обеспечения безопасностисредняясредняянизкаянизкаясредняяНеправильное использование программно-аппаратного обеспечениявысокаявысокаявысокаявысокаявысокаяОтсутствие механизмов отслеживаниявысокаявысокаявысокаявысокаявысокаяНесоответствующие процедуры набора кадроввысокаявысокаявысокаявысокаявысокая7. Общие уязвимые местаОтказ системы вследствие отказа одного из элементовнизкаянизкаянизкаявысокаявысокаяНеадекватные результаты проведения технического обслуживаниянизкаянизкаянизкаявысокаявысокая