3 Разработка комплексной системы защиты информации
3.1 Организация работ по защите конфиденциальной информации
Разработка мер и обеспечение защиты информации осуществляется подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководителями организаций для проведения таких работ [10].
Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей организаций.
Разработка СЗИ может осуществляться как подразделением учреждения (предприятия), так и специализированным предприятием, имеющим лицензии ФСТЭК России и/или ФСБ на соответствующий вид деятельности в области защиты информации [5].
В случае разработки СЗИ или ее отдельных компонентов специализированными организациями в организации-заказчике определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение мероприятий по защите информации.
Разработка и внедрение СЗИ осуществляется во взаимодействии разработчика со службой безопасности предприятия-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможных каналов утечки информации или воздействий на нее и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.
В организации должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.
Рекомендуются следующие стадии создания СЗИ [10]:
предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
стадия проектирования (разработки проектов, включающая разработку СЗИ в составе объекта информатизации;
стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.
В организации должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП.
Защищаемые помещения должны размещаться в пределах КЗ организации. При этом рекомендуется размещать их на удалении от границ КЗ; ограждающие конструкции ЗП (стены, полы, потолки) не должны являться смежными с помещениями других организаций. Не рекомендуется располагать ЗП на первых этажах зданий. Окна помещения рекомендуется оборудовать шторами (жалюзи).
Защищаемые помещения оснащаются сертифицированными по требованиям безопасности информации ОТСС и ВТСС или соответствующими средствами защиты. Эксплуатация ОТСС, ВТСС и средств защиты должна осуществляться в соответствии с эксплуатационной документацией на них.
Специальная проверка ЗП и установленного в нем оборудования с целью выявления, возможно, внедренных в них электронных устройств съема информации (закладочных устройств) проводится, при необходимости, по решению руководителя организации.
Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется оконечные устройства телефонной связи, имеющие прямой выход в городскую АТС, оборудовать сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.
Для исключения возможности скрытного подключения к телефонной сети и прослушивания ведущихся в ЗП разговоров не рекомендуется устанавливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС и (или) абонентов из сторонних организаций.
В случае необходимости, рекомендуется использовать сертифицированные по требованиям безопасности информации цифровые АТС либо устанавливать в эти помещения аналоговые аппараты или цифровые ТА с вмонтированными в них сертифицированными средствами защиты, либо временно отключать ТА от телефонной сети.
Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне.
В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации.
Для снижения вероятности перехвата информации по виброакустическому каналу рекомендуется организационными мерами исключить возможность установки посторонних (внештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).
Для снижения уровня виброакустического сигнала рекомендуется расположенные в ЗП элементы инженерно-технических систем отопления, вентиляции оборудовать звукоизолирующими экранами.
При эксплуатации ЗП необходимо предусматривать организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение:
двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;
выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;
установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации учреждения (предприятия).
Передача речевой информации по открытым проводным каналам связи, выходящим за пределы КЗ, и радиоканалам должна быть исключена.
При необходимости передачи конфиденциальной информации следует использовать защищенные линии связи.
Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации.
В данном ЗП применяются следующие меры защиты информации:
границей контролируемой зоны ВП – «Кабинет начальника отдела (помещение № 225)» (далее – «Кабинет НО») является периметр охраняемой территории комплекса административных зданий. Внешние ограждающие конструкции ВП просматриваются системой видеонаблюдения;
помещение оборудовано охранной и пожарной сигнализацией, построенной по проводной системе сбора информации. Линии охранной и пожарной сигнализации выведены на прибор приемный контрольный охранно-пожарный «ОРИОН-1», размещенный в помещении охраны контрольно-пропускного пункта Управления (далее – КПП). Охрана Управления осуществляется личным составом поста охраны УВО при ГУВД по Новосибирской области;
окно помещения оборудовано жалюзи;
помещение оборудовано системой виброакустической и акустической защиты «Соната-АВ» (модель 1М);
управление системой виброакустической и акустической защиты «Соната-АВ» (модель 1М) осуществляется с помощью пульта аппаратуры дистанционного управления «Соната-ДУ» (модель ДУ2mini);
расположенные на стеклопакетах оконных проемов датчики пьезоизлучателей типа ПИ-45 (2 шт), расположенный на трубе радиатора отопления виброизлучатель типа ВИ-45 (1 шт), а также расположенный над входной дверью с наружной стороны акустический излучатель типа АИ-65 (1 шт) обеспечивают защиту речевой информации от средств акустической речевой разведки.
3.2 Методики оценки защищенности помещений
Существует Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам. Из данного сборника будут взяты методики, касающиеся акустического, виброакустического и электроакустического каналов [15].
3.2.1 Акустический и виброакустический каналы
Методика предназначена для проведения инструментально-расчетной оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам при аттестации помещений на соответствие требованиям защищенности, при плановом периодическом контроле защищенности, а также после осуществления их ремонта и реконструкции [15].
В методике используются нормативные значения октавных коэффициентов звукоизоляции (виброизоляции) защищаемых помещений (ЗП), обеспечивающие их защищенность от утечки речевой конфиденциальной информации, порядок проведения оценки защищенности помещений, состав контрольно-измерительной аппаратуры и порядок проведения измерений.
Метод
оценки защищенности помещений от утечки
речевой конфиденциальной информации
по
акустическому
каналу
заключается в определении
коэффициентов звукоизоляции
ограждающих конструкций (ОК) в октавных
полосах частот со среднегеометрическими
частотами 250, 500, 1000, 2000, 4000 Гц и последующим
сопоставлением
полученных коэффициентов с их нормативными
значениями.
Коэффициент звукоизоляции 
в каждой
i-й
октавной полосе определяется как
разность
между измеренными
уровнями тестового акустического
сигнала (далее
тест-сигнала) перед OK
и за ее
пределами в выбранных контрольных
точках (КТ)
.
Метод
оценки защищенности помещений от утечки
речевой конфиденциальной информации
по
виброакустическому каналу
заключается в определении
коэффициентов виброизоляции
ограждающих конструкций, а также
различных элементов инженерно-технических
систем (ИТС), включая их коммуникации,
в октавных полосах частот со
среднегеометрическими частотами 250,
500, 1000, 2000, 4000 Гц и последующим сопоставлением
полученных коэффициентов с их нормативными
значениями.
Коэффициент виброизоляции
,
в каждой
i-й
октавной полосе определяется как
разность между измеренными уровнями
тестового вибрационного сигнала перед
ОК и элементами ИТС
на их поверхностях
и за пределами ЗП в выбранных КТ
.
В качестве тест-сигнала могут быть использованы гармонические (тональные) частоты, соответствующие среднегеометрическим частотам октавных полос, либо шумовой сигнал с нормальным распределением плотности вероятности мгновенных значений в пределах соответствующей октавной полосы.
Октавные уровни излучаемого тест-сигнала в ЗП и уровни акустического (вибрационного) сигнала в КТ определяются с использованием измерителя шума и вибраций (шумомера), на вход которого подключается либо приемник звука (микрофон), либо приемник вибраций (вибродатчик).
При оценке защищенности помещений от утечки речевой конфиденциальной информации по акустическому каналу для каждой ОК выбирается не менее трех КТ в местах, наиболее опасных с точки зрения перехвата речевой информации. При оценке защищенности помещений по виброакустическому каналу КТ выбираются на элементах (коммуникациях) ИТС, выходящих за пределы ЗП.
Нормативные значения октавных коэффициентов звукоизоляции (виброизоляции), обеспечивающие защищенность помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам, приведены в таблице 6.
Таблица 6
|
Место возможного перехвата речевой конфиденциальной информации из помещения |
Нормативные значения октавного коэффициента звукоизоляции (виброизоляции), дБ | ||
|
для помещений, не оборудованных системами звукоусиления |
для помещений, оборудованных системами звукоусиления | ||
|
Смежные помещения |
43,4 |
57,4 | |
|
Уличное пространство |
Улица без транспорта |
36 |
50 |
|
Улица с транспортом |
26 |
40 | |
Порядок проведения оценки защищенного помещения:
провести осмотр и анализ архитектурно-планировочных решений ЗП с целью определения характера и конструктивных особенностей ОК и ИТС, включая их коммуникации (воздуховоды, трубопроводы и пр.), особенностей смежных помещений и прилегающих к ЗП уличных пространств;
составить план-схему ЗП;
выбрать местоположение КТ и отметить их на план-схеме;
собрать аппаратурный комплекс для формирования и измерения тест-сигналов ЗП;
для каждой октавной полосы частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц измерить излучаемые уровни тест-сигнала ЗП перед контролируемыми ОК и элементами ИТС
;для каждой октавной полосы частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц измерить уровни акустических (вибрационных) сигналов и уровни шума в выбранных КТ
;определить для каждой КТ октавные коэффициенты звукоизоляции (виброизоляции)
;сопоставить полученные значения октавных коэффициентов звукоизоляции (виброизоляции) с их нормативными значениями (таблица 6);
оформить (документально) результаты оценки защищенности помещения от утечки речевой конфиденциальной информации по акустическому и вибрационному каналам (приложение Б).
В состав формирователя акустического тест-сигнала должны входить:
генератор сигналов (ГС) или генератор шума (ГШ);
усилитель мощности (УМ);
акустический излучатель (АИ) – громкоговоритель или звуковая колонка.
В состав измерителя акустического сигнала и акустичсекого шума должны входить:
измерительный микрофон;
микрофонный усилитель;
измеритель шума и вибраций (шумомер).
В состав измерителя вибрационного сигнала и вибрационного шума должны входить:
измерительный вибродатчик (акселерометр);
предусилитель вибродатчика;
измеритель шума и вибраций (шумомер).
Размещение акустического излучателя в ЗП:
если ОК является стена, дверь, окно и т.п., то АИ необходимо размещать на высоте 1…1,5 м от пола и на расстоянии 1,5 м от ОК. Ось апертуры АИ направляется в сторону ОК по нормали к ее поверхности;
если ОК является пол, то АИ необходимо размещать в центре помещения на высоте 1…1,5 м от пола. Ось апертуры АИ направляется в сторону пола по нормали к его поверхности;
если ОК является потолок, то АИ необходимо размещать в центре помещения на высоте 1…1,5 м от пола. Ось апертуры АИ направляется в сторону потолка по нормали к его поверхности.
Размещение АИ относительно элементов ИТС производится аналогично.
Размещение микрофона при измерении уровня излучаемого тест-сигнала в ЗП:
измерительный микрофон размещается на осевой линии апертуры АИ на расстоянии 1 м от плоскости апертуры и на расстоянии 0,5 м от поверхности ОК (элемента ИТС).
Размещение микрофона при измерении уровня акустического сигнала и акустического шума в КТ:
измерительный микрофон размещается в выбранной точке контроля на расстоянии 0,5 м от поверхности ОК.
Размещение вибродатчика (акселерометра) при измерении уровня вибрационного сигнала и вибрационного шума в КТ:
измерительный вибродатчик (акселерометр) размещается в выбранной КТ непосредственно на поверхности ОК или на поверхности контролируемого элемента ИТС.
Измерения необходимо проводить при минимальных уровнях акустических и вибрационных шумов в ЗП и КТ (при отсутствии персонала в ЗП, при выключенных системах вентиляции, кондиционирования и других источниках дискретных шумов, при отсутствии транспортных шумов и пр.).
Размещается аппаратура формирования тестового акустического сигнала в ЗП и измерительный комплекс в КТ.
При
выключенном АИ с помощью микрофона,
вибродатчика (акселерометра) и шумомера
в КТ измеряется уровень акустического
(вибрационного) шума
.
При
включенном Аи в КТ измеряется суммарный
уровень акустического (вибрационного)
сигнала и акустического (вибрационного)
шума
.
Уровень излучаемого тест-сигнала
выбирается из условия его надежной
фиксации средствами измерений в КТ на
уровне шума [15].
Путем расчетной процедуры определяется уровень акустического (вибрационного) сигнала в контрольной точке по формулам:
;
(4)
,
(5)
где 
–
поправка в дБ, определяемая из таблицы
7.
Таблица 7
|
|
10 |
6…10 |
4…6 |
3 |
2 |
1 |
0,5 |
|
|
0 |
1 |
2 |
3 |
4 |
7 |
10 |
,
дБ
Путем расчетной процедуры определяется коэффициент звукоизоляции (виброизоляции) по формуле
.
(6)
Проводится сравнительный анализ полученных октавных коэффициентов звукоизоляции (виброизоляции) с их нормативными значениями и делается вывод о защищенности помещения от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам.
Результаты контроля оформляются протоколом (приложение Б).
3.2.2 Элекроакустические каналы
Методика предназначена для проведения инструментально-расчетной оценки возможности утечки речевой конфиденциальной информации по каналам электроакустических преобразований при аттестации ЗП на соответствие требованиям защищенности, при плановом периодическом контроле защищенности, а также после оснащения ЗП новыми вспомогательными техническими средствами и системами (ВТСС) [15].
В качестве электроакустических преобразователей могут выступать технические средства и системы, содержащие в своем составе элементы, электрические параметры которых обладают микрофонным эффектом и могут меняться под воздействием звукового давления. Как правило, такими элементами являются: микрофоны, электрические звонки, динамики, катушки индуктивности и пр. При этом потенциально опасными следует считать ВТСС., функциональные (сигнальные) цепи которых выходят за пределы ЗП.
Метод
оценки заключается в инструментально-расчетном
определении совокупности октавных
отношений напряжений (отношений
«сигнал/шум» по напряжению
),
наводимых в функциональных (сигнальных)
цепях ВТСС тестовым акустическим
сигналом (тест-сигналом) и шумом за счет
их электроакустических преобразований
соответствующими системами и средствами,
и последующим сравнением этих отношений
с нормальными значениями.
Определение
отношений «сигнал/шум» проводится на
разъемах функциональных (сигнальных)
цепей ВТСС при отключенных линиях,
выходящих за пределы ЗП, в октавных
полосах частот со среднегеометрическими
частотами
,
равными 250, 500, 1000, 2000, 4000 Гц. Инструментальным
способом определяются величина напряжения
шума
и величина напряжения смеси тест-сигнала
и шума
по усреднению результатов пяти отдельных
измерений.
Расчетными
способом находятся приведенные к ширине
октавной полосы частот напряжения: шума
,
тест-сигнала
и отношения напряжений тест-сигнала и
шума
.
В качестве тест-сигнала необходимо использовать перестраиваемые по частоте в октавных полосах гармонические (тональные) частоты. Октавные уровни излучаемого тест-сигнала должны соответствовать интегральному уровню речи 70 дБ (для ЗП, не оборудованных системами звукоусиления) и 84 дБ (для остальных ЗП).
Уровень излучаемого тест-сигнала должен быть стабилен в процессе проведения измерений.
Все измерения должны проводиться в соответствии с инструкцией по эксплуатации применяемых средств измерений.
Нормативные значения октавных отношений «сигнал/шум», обеспечивающих защищенность ЗП от утечки речевой конфиденциальной информации по электроакустическим каналам.
Для
обеспечения защищенности ЗП от утечки
речевой конфиденциальной информации
по электроакустическим каналам отношение
«сигнал/шум»
на
разъемах функциональных (сигнальных)
цепей каждого потенциально опасного
ВТСС в каждой октавной полосе с граничными
частотами 175…350 (
Гц),
350…700 (
Гц),
700…1400 (
Гц), 1400…2800 (
Гц) и 2800…5600 Гц (
Гц) должно отвечать условию
.
Порядок проведения оценки защищенности помещения:
составить план-схему размещения ВТСС и ЗП;
на основе анализа функционального назначения, конструктивных особенностей и схемотехнических решений выявить и отметить на план-схеме потенциально опасные ВТСС;
подготовить аппаратурный комплекс для формирования и контроля тест-сигнала и измерения напряжений на разъемах функциональных (сигнальных) цепей потенциально опасных ВТСС;
отключить подходящие к ВТСС функциональные (сигнальные) линии, убедиться в отсутствии на разъемах высоких напряжений, превышающих предельные характеристики применяемых средств измерений, подключить к разъему согласованную нагрузку;
для каждого оцениваемого ВТСС определить величины напряжений тест-сигнала
и шума
на выходных разъемах в каждой октавной
полосе частот;для каждого ВТСС определить
;измерительные процедуры выполнить для двух режимов работы ВТСС – включенного и выключенного;
для каждого ВТСС и каждого из его режимов работы сопоставить полученные значения октавных отношений «сигнал/шум» с их нормативными значениями;
оформить результаты оценки защищенности помещения согласно форме протокола (приложение В).
В состав формирователя акустического тест-сигнала должны входить:
генератор сигналов (ГС);
усилитель мощности (УМ);
акустический излучатель (АИ) – громкоговоритель или звуковая колонка.
АИ необходимо размещать в непосредственной близости от ВТСС на расстоянии 1 м.
В качестве измерителя напряжений малого уровня могут использоваться различные типы селективных микровольтметров и нановольтметров.
Микровольтметр (нановольтметр) необходимо подключать к выходным разъемам оцениваемых ВТСС при отключенных сигнальных цепях.
Измерения необходимо проводить при минимальных уровнях акустических шумов в ЗП (отсутствии персонала в ЗП, выключенных системах вентиляции, кондиционирования и других источниках дискретных шумов, ограничении внешних шумов, проникающих в ЗП).
При
выключенном АИ с помощью селективного
вольтметра измерить величину напряжения
шума на разъемах ВТСС
при установленной минимальной полосе
пропускания прибора
,
отвечающей условию:
,
(7)
где 
–
ширина i-й
октавной полосы частот.
В
случае невыполнения условия
выбирается полоса селективного
вольтметра, ближайшая к
.
Рассчитать величину напряжения шума в октавной полосе по формуле:
.
(8)
При
включенном АИ с помощью селективного
вольтметра измерить величину
в минимальной полосе пропускания прибора
.
Рассчитать
величину напряжения тест-сигнала
по формуле:
.
(9)
Рассчитать
по формуле:
.
(10)
Провести сравнительный анализ полученных отношений «сигнал/шум» с их нормативными значениями.
Сделать вывод о защищенности помещения от утечки конфиденциальной информации по электроакустическим каналам.
Оформить документально результаты оценки защищенности (приложение В).