Защита информации
.pdfботки и хранения конфиденциальной (секретной) информации, на которые могут воздействовать электрические, магнитные и акустические поля опас ных сигналов. К ним могут относиться:
-системы звукоусиления, предназначенные для обслуживания несек ретных мероприятий;
-различного рода телефонные системы, предназначенные для несек ретных переговоров и сообщений (городская телефонная связь, системы внутренней телефонной связи с выходом и без выхода в город);
-несекретная директорская, громкоговорящая диспетчерская, внут
ренняя служебная и технологическая связь, переговорные устрой ства типа «директор-секретарь»;
-системы специальной охранной сигнализации (ТСО), технические средства наблюдения;
-системы пожарной сигнализации;
-системы звуковой сигнализации (вызов секретаря, входная сигна лизация);
-системы кондиционирования;
-системы проводной, радиотрансляционной сети приема программ
радиовещания;
-телевизионные абонентские системы;
-системы электрочасофикации (первичная, вторичная);
-системы звукозаписи и звуковоспроизведения несекретной речевой информации (диктофоны, магнитофоны);
-системы электроосвещения и бытового электрооборудования (све
|
тильники, люстры, настольные вентиляторы, электронагреватель |
|
ные приборы, проводная сеть электроосвещения); |
- |
электронная оргтехника - множительная, машинописные устрой |
ства, вычислительная техника.
ВТСС также рассматриваются и подразделяются на те, которые:
-имеют соответствующие сертификаты;
-не имеют подобных сертификатов, но прошедшие инструмен
тальные исследования (результаты которых представляют ис ходные данные для проведения мероприятий по защите инфор мации);
-не имеющие сертификатов и результатов исследований.
Использование последней в качестве ВТСС потребует проведения ин струментальных проверок для определения возможности их использования.
Примеры средств, которые можно использовать в качестве ОТСС и ВТСС приведем в таблице 1.4.
г) уточнить назначение и необходимость применения ВТСС в произ водственных и управленческих циклах работы (рекомендуется свести их до минимума);
д) выявить технические средства, применение которых не обосновано служебной необходимостью;
е) выявить наличие задействованных и незадействованных воздушных, наземных, подземных, настенных, а также заложенных в скрытую канали
51
зацию |
кабелей, цепей, проводов, уходящих за пределы |
контролируемой |
зоны; |
|
|
ж) |
составить перечень выделенных помещений первой |
и второй групп, |
в которых проводятся или должны проводиться закрытые мероприятия (пе реговоры, обсуждения, беседы, совещания) и помещений третьей группы.
Помещения, которые подлежат защите, определяются как выделенные
иподразделяются на:
-помещения, в которых отсутствуют ОТСС, но циркулирует конфи денциальная акустическая информация (переговоры, выступления, обсуждения и т.п.);
-помещения, в которых расположены ОТСС и ВТСС и циркулирует конфиденциальная акустическая информация;
-помещения, в которых расположены ОТСС и ВТСС, но циркули рует не конфиденциальная акустическая информация;
-и т.п.
з) выявить наличие в выделенных помещениях оконечных устройств основных ОТСС и ВТСС.
По результатам этих работ, перечисленных в пунктах (а) - (ж), состав ляются протоколы обследования помещений. Форма протоколов произ вольная. Обобщенные данные протоколов оформляются актом, утвержда емым руководством предприятия с приложением следующих документов:
а) планов контролируемой зоны или зон объектов предприятия; б) перечня выделенных помещений первой, второй и третьей групп с
перечнем элементов технических средств (ВТСС и ОТСС), размещенных в них;
в) перечня основных ОТСС; г) перечня ВТСС, имеющих цепи, выходящие за пределы контролиру
емой зоны (зон); |
|
|
|
д) |
перечня технических средств, |
кабелей, цепей, проводов, |
подлежа |
щих демонтажу; |
|
|
|
е) схемы кабельных сетей предприятия с указанием типов кабелей, трасс |
|||
их прокладки, принадлежности к используемым системам. |
|
||
На |
основании акта обследования |
составляется план-график |
с указа |
нием мероприятий, сроков и исполнителей. При определении границ конт ролируемой зоны (зон) необходимо руководствоваться следующими поло жениями:
а) |
одной зоной должны по возможности охватываться все |
выделен |
ные помещения; |
|
|
б) |
границы зон должны относиться по возможности дальше |
от пери |
метров выделенных помещений; |
|
|
в) |
за границы зон должно выходить минимально возможное |
количе |
ство кабелей ВТСС и не должны выходить провода и кабели основных ОТСС;
г) не рекомендуется выносить за границы зоны трансформаторные подстанции, предназначенные для электропитания технических средств, а также заземлители (контуры заземления, системы заземления технических средств);
52
д) |
границы зон целесообразно размещать по периметру охраняемой |
территории предприятия. |
|
Помещения первой группы необходимо располагать внутри контро |
|
лируемой |
зоны, чтобы существовал определенный (по возможности боль |
шой) пространственный запас до границ контролируемой зоны. При со ставлении перечня технических средств для проведения работ необходимо руководствоваться следующим:
а) |
состав технических средств (ОТСС и ВТСС) должен обосновывать |
ся служебной и производственной необходимостью; |
|
б) |
для сопровождения закрытых мероприятий должны использовать |
ся защищенные технические средства отечественного производства; |
|
в) |
ВТСС иностранного производства допустимы к использованию в |
крайних (при отсутствии отечественного оборудования) случаях. Организационно-технические мероприятия включают в себя также
мероприятия по блокированию возможных каналов утечки конфиденци альной информации через действующие на объектах предприятия ВТСС с помощью следующих способов:
а) отключения цепей и установки простейших схем и устройств за щиты;
б) демонтажа отдельных кабелей, цепей, проводов, уходящих за пре делы контролируемой зоны;
в) изъятия из выделенных помещений устройств ВТСС, применение которых явно может привести к возникновению опасной утечки конфиден циальной информации (незащищенные радиоприемники, системы радио вещания, телевизоры и т.п.);
г) перемонтажа отдельных коммутационных устройств, замены отдель ных участков кабеля;
д) перемонтажа оборудования отдельных систем, в том числе систем заземления и электропитания различных технических средств (ТС) в целях внесения их в пределы контролируемой зоны.
С целью определения готовности выделенных помещений к проведе нию мероприятий конфиденциального характера или готовности помеще ний к размещению в них стационарного оборудования ОТСС и ВТСС про водятся их аттестации.
Защита информации техническими способами и средствами.
Защита информации может осуществляться инженерно-техническими и криптографическими способами.
Техническая защита конфиденциальной информации - защита инфор мации некриптографическими методами, направленными на предотвраще ние утечки защищаемой информации по техническим каналам, от несанк ционированного доступа к ней и от специальных воздействий на информа цию в целях ее уничтожения, искажения или блокирования.
Порядок защиты некриптографическими способами и средствами опре делен руководящими документами Гостехкомиссии России (приложение № 1)
53
Порядок разработки, |
производства, реализации и использования |
средств криптографической |
защиты информации с ограниченным досту |
пом, не содержащей сведений, составляющих государственную тайну, оп ределяется Положением ПКЗ-99, утвержденным приказом ФАПСИ от 23 сентября 1999 г., а также Инструкцией об организации и обеспечении безо пасности хранения, обработки и передачи по каналам связи с использова нием средств криптографической защиты информации с ограниченным
доступом, не |
содержащей сведений, составляющих государственную тай |
ну, утвержденной приказом ФАПСИ от 13 июня 2001 г. № 152. |
|
Технические мероприятия по защите информации и противодействию |
|
TCP основаны на применении средств защиты и реализации проектных и |
|
конструкторских решений, направленных на защиту объекта. |
|
Способы |
противодействия техническим средствам разведки опреде |
ляют как преднамеренное воздействие на технический канал утечки инфор мации для достижения цели по противодействию техническим разведкам, а
способы защиты |
объекта - преднамеренное воздействие на объект |
защиты |
для достижения поставленных целей противодействия . |
|
|
Для защиты объекта возможно использование таких способов, как |
||
скрытие и техническая дезинформация. |
|
|
Скрытие - это способ защиты объекта от технической разведки путем |
||
устранения или |
ослабления технического демаскирующего признака |
объек |
та защиты. |
|
|
Техническая дезинформация - способ защиты объекта путем |
искаже |
|
ния технических |
демаскирующих признаков объекта защиты или |
имита |
ции технических демаскирующих признаков объекта, не являющегося объек том защиты.
Это, как правило, объект, на который в соответствии с легендой дол жен походить настоящий объект защиты.
Легендирование - это один из способов противодействия техническим разведкам, заключающийся в преднамеренном распространении ложной информации о предназначении объекта и характере выполняемых на нем работ.
В качестве средств защиты и противодействия рассматривается аппа ратура и технические устройства (в том числе на различных носителях - автомобиль, корабль, стационарное помещение и т.п.), используемые для защиты объекта.
Средства защиты и противодействия могут быть активными и пассив ными.
Активное средство противодействия - это средство, обеспечивающее создание маскирующих или имитирующих активных помех средством тех нической разведки или средство, приводящее к нарушению нормального функционирования этих средств разведки.
Пассивное же средство противодействия - это средство ИТЗИ, обеспе чивающее скрытие объекта защиты от технических разведок путем погло щения, отражения или рассеивания его излучений.
54
Использование активных и пассивных средств и способов защиты дол жны обеспечить выполнение условий 1.2.
Как было показано ранее при технических способах защиты возмож но использование;
•уменьшения величины Рос в точке расположения TCP за счет пас сивных способов защиты;
•увеличения Рш в месте расположения TCP активными способами защиты;
•комбинированное использование активных и пассивных способов защиты.
Технические мероприятия проводятся по мере приобретения предпри ятием или организацией специальных устройств защиты и защищенной тех ники и направлены на блокирование каналов утечки конфиденциальной информации и ее защиты от несанкционированного и непреднамеренного воздействия с применением пассивных и активных методов защиты инфор мации. Объем работ по проведению технических мероприятий зависит от категории защищаемого объекта и включает:
а) Установку на предприятии специальных средств защиты конфиден циальной информации от утечки, непреднамеренного воздействия, несанк ционированного воздействия.
б) Замену незащищенных технических средств на защищенные в целях использования их в качестве основных (ОТСС) (таблица 1.6).
в) Определение и установку необходимых средств защиты ВТСС. Тех
нические параметры |
подобных средств защиты зависят от категории объек |
|
та защиты и степени конфиденциальности защищаемой информации. |
||
г) |
Определение |
способов и необходимых технических средств контро |
ля эффективности защиты информации. |
||
д) |
Частичную |
или полную реконструкцию помещений, и кроссов для |
систем ОТСС с использованием пассивных и активных способов защиты. |
||
е) |
Частичную |
или полную реконструкцию кабельных сетей с целью |
обеспечения возможности передачи по ним конфиденциальной информа ции.
Необходимость проведения технических мероприятий по защите ин формации определяется проведенными исследованиями защищаемых (вы деленных) помещений с учетом предназначения этих помещений (их кате гории) и необходимости защиты этих объектов информатизации и распо ложенных в них средств звукозащиты, звуковоспроизведения, звукоусиле ния, тиражированного размножения документов, и т.п. При этом в зависи мости от циркулирующей в выделенном помещении конфиденциальной информации и наличия ОТСС и ВТСС определяются основные мероприя тия по акустической защищенности выделенного помещения; по защите ВТСС, находящихся в помещении, или их замене на сертифицированные, обладающие необходимыми защитными свойствами ВТСС, по защите ли ний связи ОТСС, по замене ОТСС на сертифицированные и т.п.
55
Таблица 1.6
56
Продолжение таблицы 1.6
57
Окончание таблицы 1.6
В заключение следует отметить что защита информации от техничес ких средств разведки представляет собой совокупность организационных, организационно-технических и технических мероприятий, проводимых с целью исключения (существенного затруднения) добывания злоумышлен ником информации об объекте защиты с помощью технических средств. Защита от этих средств достигается комплексностью применения согласо ванных по цели, месту и времени мер защиты.
Комплексное противодействие обеспечивается при комплексном ис пользовании средств защиты и организационно-технических способов и методов в целях защиты охраняемых сведений об объекте, осуществляемое согласованно с целями и задачами защиты информации и противодействия TCP, этапами жизненного цикла объекта и способами противодействия.
58
Защита должна производиться активно, убедительно, разнообразно, непрерывно, комплексно, планово.
Активность противодействия состоит в настойчивом осуществлении эффективных мер противодействия.
Разнообразие противодействия исключает шаблон в организации и проведении мероприятий по противодействию.
Комплексность предусматривает системный подход, т.е. равнознач ное закрытие всех возможных каналов утечки информации об объекте. Недопустимо применять отдельные технические средства или методы, на правленные только на защиту отдельных из общего числа возможных ка налов утечки информации.
Непрерывность противодействия предусматривает проведение подоб ных мероприятий на всех этапах жизненного цикла разработки и существо вания специальной продукции или обеспечения производственной деятель ности объекта защиты.
Важно также, чтобы мероприятия по защите и противодействию выг лядели правдоподобно и отвечали условиям обстановки, выполнялись в соответствии с планами защиты информации объекта. В связи с этим раз рабатываются и осуществляются практические меры защиты. При этом особое внимание обращается на выбор замысла защиты информации объек та, замысла противодействия. Замысел защиты - общая идея и основное содержание организационных, организационно-технических и технических мероприятий, обеспечивающих устранение или ослабление (искажение) демаскирующих признаков и закрытие технических каналов утечки охра няемых сведений и несанкционированного воздействия на них.
Организация защиты информации.
Организация зашиты информации (рис. 1.8) определяет содержание и порядок действий по обеспечению защиты информации.
Основные направления в организации защиты информации определя ются системой защиты, мероприятиями по защите информации и меропри ятиями по контролю за эффективностью защиты информации, где:
-предлагаемая система защиты информации - это совокупность ор ганов и/или исполнителей, используемая ими техника защиты ин формации, а также объекты защиты, организованные и функцио нирующие по правилам, установленным соответствующими пра вовыми, организационно - распорядительными и нормативными документами по защите информации;
-мероприятие по защите информации определяет совокупность дей ствий по разработке и/или практическому применению способов и средств защиты информации, а мероприятие по контролю эффек
тивности защиты информации - совокупность действий по разра ботке и/или практическому применению методов (способов) и средств контроля эффективности защиты информации.
59
Рис. 1.8. Схема организации защиты информации.
Органом защиты информации выступает административный орган, осуществляющий организацию защиты информации.
Объектом защиты является информация, носитель информации, ин формационный процесс и соответствующее ЗП, в отношении которых не
обходимо обеспечить |
защиту в соответствии с |
поставленной целью защи |
ты информации. |
|
|
Технику защиты |
информации составляют |
средства защиты информа |
ции, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информа ции (более подробно рассмотрены в гл.3-9).
К средствам и системам управления защитой информации можно от нести технические и программные средства и системы, используемые для организации и осуществления управления защитой информации.
В мероприятия по защите информации входят способы защиты ин формации, категорирование, лицензирование, сертификация и аттестация. При этом:
Сертификация - это процесс, осуществляемый в отношении такой ка тегории, как “изделие” (средство). В результате сертификации, после вы
полнения комплекса мероприятий, |
определенных |
правилами |
и порядком |
ее проведения, устанавливается, или |
подтверждается |
качество |
изделия. Сер |
60