6. Защита информации в автоматизированных системах обработки информации

6.1. Каналы утечки информации в асои

Аппаратные и программные средства и методы защиты информации в АСОИ непосредственно связаны с ЭВМ и средствами коммуникаций.

На рис. 5 показана типовая структурная схема корпоративной (локальной) сети, где обозначено:

БП - блок питания;

ВЗУ - внешнее запоминающее устройство (НГМД, НЖМД, НОД, стример);

Д - датчики наведенных сигналов в сетях теплоснабжения, канализации, охранной и пожарной сигнализации, контуре заземления, сети электропитания;

КЗ - контур заземления;

КС - канализационная сеть;

М - модем;

МК - мусорная корзина;

Мон - монитор;

ПВВ - порт ввода/вывода;

ПК -персональный компьютер;

РЗ – радиозакладка, настраиваемая на определенную частоту;

СВУ - сетевые внешние устройства;

СОПС - система охранной и пожарной сигнализации;

СОТ - средства оргтехники;

СРВ – сервер сети;

СТС - система теплоснабжения;

СЭП - система электропитания;

ТФКС – телефонный канал связи;

УВв - устройства ввода;

УРг - устройства регистрации;

ЦУС - центр управления сетью.

На рис. 5 цифрами указаны возможные каналы утечки информации, возникающие в результате пассивных и активных угроз объекту защиты:

1 - несанкционированный просмотр (фотографирование) информации;

2 - несанкционированный доступ к ВЗУ с целью просмотра и (или) копирования информации;

3 - несанкционированный удаленный доступ к ресурсам ПК с других ПК сети;

4 - ошибки в работе пользователя;

5 - ошибки в работе администратора сети;

6 - хищение съемных машинных носителей информации;

7 - хищение твердых копий и случайно выброшенной информации;

8 - высокочастотные электромагнитные излучения;

9 - низкочастотные электромагнитные излучения;

10 - акустические излучения;

11 - наводки в сетях теплоснабжения;

12 - наводки в канализационных сетях;

13 - наводки в сетях охранной и пожарной сигнализации;

14- наводки в контуре заземления;

15- наводки в сети электропитания.

Многообразие возможных каналов утечки информации требует очень внимательного подхода к решению задачи по защите информации в автоматизированных системах обработки информации.

6.2. Основные принципы проектирования защиты в асои

При проектировании АСОИ обычно уже известны места расположения технических средств и персонала, движение носителей информации, используемые коммуникационные средства, вид, важность и степень секретности информации. Поэтому основным требованием является параллельное проектирование АСОИ и её системы защиты. Таким образом, требования к системе защиты должны быть учтены в техническом задании на проектирование АСОИ. Следует заметить, что введение средств и методов защиты может снизить характеристики АСОИ, но не учет системы защиты при проектировании АСОИ может привести к более серьезным потерям для корпорации.

Вторым принципом является то, что руководство проектированием АСОИ и её защиты должны осуществлять лица одного уровня управления, иначе трудно достичь конструктивной согласованности в работе.

Разработка системы защиты в АСОИ требует комплексного подхода, и следовательно, привлечения специалистов разного профиля. При защите информации в АСОИ необходимо сочетание программных и аппаратных средств.

Создаваемая система защиты должна быть простой. Простота средств и методов защиты повышает её надежность, экономичность, удобство в использовании.

Сведения по защите информации в АСОИ должны быть закрыты и доступ к ним должны иметь только определенные сотрудники.

Опыт построения системы защиты АСОИ показывает, что должно быть организовано по крайней мере четыре контура защиты:

• внешний контур, охватывающий всю территорию, на которой расположены сотрудники, документы и средства АСОИ;

• контур сооружений и помещений для размещения АСОИ;

• контур технических и программных средств АСОИ;

• внутренний контур, связанный с процессами ввода/вывода, передачи и обработки информации.

Большое внимание следует уделить защите программного обеспечения АСОИ. Это связано со следующими обстоятельствами:

1) Программное обеспечение играет решающую роль в эффективной обработке информации.

2) Программное обеспечение все чаще становится коммерческой тайной корпорации.

3) Из всех компонентов АСОИ программное обеспечение наиболее уязвимо для угроз.

При анализе объекта для построения его системы защиты необходимо выяснить:

• назначение и выполняемые функции АСОИ;

• состав и выполняемые функции сотрудников;

• структурную схему АСОИ;

• структуру и состав информации, представляющей коммерческую тайну;

• необходимое время сохранения коммерческой тайны;

• технические и программные средства;

• средства компьютерных сетей и коммуникаций;

• условия размещения сотрудников и средств АСОИ;

• режим работы АСОИ по времени;

• режим работы АСОИ по назначению (пакетный, диалоговый, фоновый, с удаленным доступом и др.).

Выбор средств и методов защиты информации в АСОИ зависит также

от принятой модели действий нарушителя. В дополнение к модели нарушителя, описанной в 2.1, целесообразно учесть характеристики, непосредственно связанные с защитой АСОИ:

• имеет (не имеет) нарушитель сведения о конкретных технических и программных средствах АСОИ;

• имеет (не имеет) сведения о пароле пользователя;

• имеет (не имеет) сведения о структуре доступа пользователя к ресурсам АСОИ;

• имеет (не имеет) сведения о программных и аппаратных средствах защиты информации;

• имеет (не имеет) ключи для дешифрования информации.

На основе анализа АСОИ и принятой модели действий нарушителя разрабатывается техническое задание на проектирование системы защиты. В техническом задании должна быть отражена необходимая прочность защиты. Элементы используемых средств и методов защиты АСОИ рассмотрены в последующих разделах.