Информации от утечки по техническим каналам на объектах технических средств обработки информации

При организации работ по защите информации от утечки по техническим каналам /2,4,8/ на объектах ТСОИ можно выделить три этапа:

Первый этап – подготовка к реконструкции (капитальному ремонту, строительству) объекта.

Второй этап – период проведения работ по реконструкции объекта

Третий этап – период эксплуатации объекта.

На первом этапе с привлечением соответствующих специалистов проводится оценка обстановки на объекте и вблизи от него, изучается необходимая документация. При этом устанавливается:

- когда построен объект; какие организации привлекались для его строительства; какие учреждения в нем располагались;

- условия расположения объекта и всех помещений объекта; какие организации занимают смежные помещения, режим их посещения.

Далее проводится оценка информации, представляющей интерес для противника. Определяются помещения, а также технические системы и средства, подлежащие защите. Для анализа возможных технических каналов утечки на объекте изучаются:

- план прилегающей к объекту местности в радиусе до 1000 м с указанием принадлежности зданий, особенно находящихся в прямой видимости из окон помещений, подлежащих защите, мест стоянок автомашин, а также места расположения трансформаторной подстанции;

- поэтажные планы здания с указанием всех помещений (смежных с защищаемыми), характеристик стен, перекрытий и материалов отделки;

- план-схема инженерных коммуникаций всего объекта, включая систему вентиляции;

- план-схема системы заземления объекта, с указанием места расположения заземлителя;

- план-схема системы электропитания здания с указанием места расположения разделительного трансформатора, всех щитов и разводных коробок;

- - план-схема прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;

- план-схема систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок.

Целесообразно провести технический контроль по оценке реальных экранирующих свойств конструкций здания и звукоизоляции помещений с целью учета их результатов при выработке мер защиты ТСОИ и выделенных помещений. По результатам анализа делается вывод о том, какие потенциальные каналы утечки информации существуют на объекте, и разрабатываются требования и рекомендации по защите информации, которые должны быть включены в техническое задание на разработку технического проекта.

Мероприятия по защите информации /3,10/ отражаются в отдельном разделе технического проекта. Для его разработки должны привлекаться организации, имеющие лицензию Гостехкомиссии РФ. При разработке технического проекта необходимо учитывать:

- в выделенных помещениях необходимо устанавливать сертифицированные технические средства обработки информации и вспомогательные технические средства;

- для размещения ТСОИ целесообразно выбирать подвальные и полуподвальные помещения;

- кабинеты руководителей учреждения, а также особо важные помещения рекомендуется располагать на верхних этажах со стороны здания, менее опасной с точки зрения ведения разведки;

- необходимо предусмотреть подвод всех коммуникаций к зданию в одном месте;

- для электропитания защищаемых технических средств рекомендуется в здании учреждения оборудовать свой разделительный трансформатор;

- электросиловые кабели рекомендуется прокладывать от общего силового щита;

- число вводов коммуникаций в зону выделенного помещения должно быть минимальным, соответствовать числу коммуникаций;

- для заземления технических средств в выделенном помещении необходимо предусмотреть отдельный собственный силовой контур заземления;

- исключить выходы посторонних проводников за пределы контролируемой зоны;

- прокладка вертикальных стояков коммуникаций вне пределов зоны выделенного помещения;

- ограждающие конструкции особо важных помещений, смежные с другими помещениями учреждения, не должны иметь проемы, ниши, а также сквозные каналы для прокладки коммуникаций;

- систему приточно-вытяжной вентиляции и воздухообмена зоны выделенных помещений целесообразно сделать отдельной, она должна иметь отдельный забор и выброс воздуха;

- короба системы вентиляции рекомендуется выполнять из неметаллических материалов;

- в помещениях с системой звукоусиления целесообразно применять облицовку внутренних поверхностей ограждающих конструкций звукопоглощающими материалами;

- дверные проемы необходимо оборудовать тамбурами;

- декоративные панели должны сниматься для осмотра;

- в выделенных помещениях не должны использоваться подвесные потолки;

- для остекления должны применяться солнцезащитные и теплозащитные стеклопакеты;

- конструкции полов целесообразно предусмотреть без плинтусов;

- в выделенных помещениях не рекомендуется применять светильники люминесцентного освещения.

Раздел технического проекта по защите информации согласуется с руководством органа по защите информации учреждения.

На втором этапе силами монтажных и строительных организаций осуществляется выполнение мероприятий по защите информации, предусмотренных техническим проектом. К работам на втором этапе привлекаются организации имеющие лицензию Федеральной службы по техническому и экспортному контролю. Органами по защите информации организуется контроль всех этапов реконструкции объекта, а также мероприятий по защите информации.

В период реконструкции особое внимание должно уделяться обеспечению режима и охране объекта. Основные рекомендации по обеспечению режима и охраны ТСОИ включают следующее:

- контроль лиц и транспортных средств, прибывших и покинувших территорию работ;

-

допуск строителей на территорию и в здание по временным пропускам;

- копии строительных чертежей, схем, связи и т.д. должны быть учтены;

- хранение комплектующих материалов на складе под охраной;

- на этапе отделочных работ необходимо обеспечить ночную охрану здания.

Мероприятия по организации контроля в ходе реконструкции объекта включают:

- скрытую проверку всех монтируемых конструкций перед монтажом;

- периодический осмотр зон выделенных помещений в вечернее или нерабочее время;

- контроль за ходом строительных работ на территории и в здании;

- осмотр мест и участков конструкций, подлежащих закрытию другими конструкциями;

- проверку состояний монтажных схем и количество прокладываемых проводов техническому проекту.

При проведении контроля особое внимание обращается на:

- несогласованное с заказчиком изменение состава бригад;

- недопустимо большие задержки по времени выполнения стандартных монтажных операций;

- неожиданную замену типов строительных материалов и элементов конструкций;

- изменение схем и порядка монтажа конструкций;

- проведение работ в обеденное или нерабочее время, особенно ночью;

- психологические факторы строителей в присутствии контролирующих и т.д.

Перед установкой в выделенное помещение мебель, предметы интерьера должны проверяться на отсутствие закладных устройств. После отделки рекомендуется провести анализ здания на возможность утечки информации по акустическим и виброакустическим каналам. По завершении реконструкции проводится аттестация объектов ТСОИ и выделенных помещений по требованиям безопасности. Она является процедурой официального подтверждения эффективности комплекса реализованных на объекте мер и средств защиты информации.

После аттестации проводится комплексная проверка защищенности информации на объекте в реальных условиях эксплуатации /23,24,26/, в результате которой посредством специального документа – аттестата соответствия с определенной степенью достоверности подтверждается, что объект соответствует требованиям стандартов по безопасности информации, или иных нормативно-технических документов по требованиям безопасности информации. Аттестация проводится органами по аттестации в установленном порядке.

В качестве рекомендаций на третьем этапе (эксплуатация объектов) выделяются:

- организация зон ограниченного доступа персонала в помещения различной степени важности;

- особо важные помещения должны быть оборудованы сигнализацией;

- в особо важных помещениях число предметов интерьера должно быть минимальным;

- закупка мебели, средств оргтехники, технических и вспомогательных средств должна осуществляться без заказа и складирования;

- организация зон доступа посетителей под наблюдением сотрудников;

- работа вспомогательного персонала по ремонту проходит под контролем сотрудника органа по защите информации;

- после рабочего дня необходимо осуществлять визуальный осмотр помещений учреждения на отсутствие в них посторонних предметов;

- не рекомендуется размещать в здании сторонние организации.

В период эксплуатации должны проводится специальные обследования и проверки выделенных помещений и объектов ТСОИ. Специальное обследование здания должно проводится во всех служебных помещениях учреждения сотрудниками органа по защите информации под легендой для сотрудников или в их отсутствие (допускается присутствие ограниченного круга лиц из числа руководителей учреждения и сотрудников службы безопасности). Специальные проверки, как правило, проводятся перед аттестацией помещения, перед ведением конфиденциальных переговоров, а также периодически. Специальные проверки могут быть следующих видов:

- специальное обследование выделенного помещения;

- визуальный осмотр выделенного помещения;

- комплексная специальная проверка выделенного помещения;

- визуальный осмотр и специальная проверка новых предметов и мебели в выделенном помещении;

- специальная проверка радиоэлектронной аппаратуры в выделенном помещении;

- периодический радиоконтроль выделенного помещения;

- специальная проверка проводных линий;

- проведение тестового «прозвона» всех телефонных аппаратов в выделенном помещении с контролем прохождения всех вызывных сигналов АТС.

Периодичность проверок выделенных помещений зависит от степени важности помещения и порядок доступа в них посторонних лиц. Специальное обследование и визуальный осмотр выделенных помещений проводится без применения технических средств, всё остальное – с применением, после строительства объекта, капитального ремонта и периодически, с привлечением соответствующих специалистов. Кроме того, перед началом и после служебных совещаний, в начале и после рабочего дня проводится визуальный осмотр. Визуальный осмотр и специальное обследование проводится для новых предметов и мебели и производится перед их установкой в выделенное помещение. Специальная поверка радиоэлектронной аппаратуры проводится после её закупки или её ремонта. Специальная проверка проводных линий осуществляется после окончания строительства объекта и после проведения капитального ремонта, а также периодически.

Радиоконтроль в выделенном помещение производится с целью обнаружения активных радиозакладок с применением сканерных приёмников и программно – аппаратных комплексов контроля.

Тестовый прозвон телефонных аппаратов проводится при установке нового телефонного аппарата, а также периодически. Специальные поверки должны проводится специальными организациями, имеющих лицензию уполномоченных органов.

ЗАКЛЮЧЕНИЕ

В пособии рассмотрены общие вопросы организации и обеспечения технической защиты информации, в том числе, угрозы безопасности информации при потенциальной возможности ее утечки по техническим каналам применительно к типовому объекту информатизации, причины и физические явления, обусловливающие возможные технические каналы утечки информации, такие как электрические и магнитные поля рассеивания, паразитная генерация, возникающая при неустойчивой работе усилителей и генераторов, акустоэлектрические преобразования на элементах технических средств, электромагнитные наводки и другие.

Приводится подробная классификация технических каналов утечки информации. Дан анализ угроз, реализуемых по различным техническим каналам утечки информации, а также методов и средств обеспечения безопасности информации на объектах информатизации при ее обработке техническими средствами. Детально рассмотрены методы и средства защиты речевой информации.

Большое внимание уделено основным принципам технологического обеспечения безопасности на объекте информатизации. Подробно рассмотрены акустическое, вибрационное и пространственное электромагнитное зашумления. Рассматриваются вопросы технического контроля эффективности защиты информации

Приводятся полная классификация и характеристики методов и средств поиска электронных устройств перехвата информации.

В пособии рассмотрены вопросы организации защиты информации от утечки по техническим каналам, такие как лицензирование деятельности в области защиты информации, сертификация средств защиты информации, аттестация объектов информатизации по требованиям безопасности информации. Приводится перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию Федеральной службой по техническому и экспортному контролю.

Даны рекомендации по организации работ по защите информации от утечки по техническим каналам на объектах технических средств обработки информации.

Авторы надеются, что данное пособие окажется полезным читателю при подготовке к экзамену по курсу "Технические средства и методы защиты информации", а полученные из пособия знания найдут применение в практической работе после окончания университета.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Торокин А.А. Основы инженерно-технической защиты информации. – М.: Ось, 1989. – 365 с.

2. Хорев А.А. Способы и средства защиты информации. – М.: МО РФ, 2000. 362 с.

3. Петраков А.В. Основы практической защиты информации. – М.: Радио и связь, 1999. – 368 с.

4. Абалмазов Э.И. Методы и инженерно-технические средства противодействия информационным угрозам. – М.: Гротек, 1997. – 248 с.

5. Хорев А.А. Защита информации от утечки по техническим каналам: Ч. 1: Технические каналы утечки информации. – М.: Гостехкомиссия России, 1998. - 320 с.

6. ГОСТ Р 5127599. Защита информации. Объекты информатизации. Факторы, воздействующие на информацию.

7. Петраков А.В., Дорошенко П.С., Савлуков Н.В. Охрана и защита современного предприятия. - М.: Энергоатомиздат, 1999. - 568 с.

8.

Герасименко В.Г., Гончаров И.В., Лютиков С.С. Методическое обеспечение вопросов комплексного контроля выполнения требований защиты информации, циркулирующей в выделенном помещении, от утечки по техническим каналам // Сборник научных докладов научно-технической конференции органов по аттестации, аккредитованных в системе сертификации Государственной технической комиссии, и организаций – лицензиатов по Приволжскому Федеральному округу. Пенза, 2002. - 320 с.

9. Халяпин Д.Г. Утечка информации // Частный сыск, охрана и безопасность. 1995. № 3. – С. 88-91.

10. Барсуков В.С., Водолазкий В.В. Современные технологии безопасности. – М.: «Нолидж», 2000. – 496 с.

11. В.Г. Герасименко, И.В. Гончаров, С.С. Лютиков, А.В. Яковлев О возможности использования диссипативных свойств строительных конструкций для защиты акустической информации // 58-я научная сессия, посвященная дню радио. Тез.докл. – Москва: Российское научно-техническое общество радиотехники, электроники и связи им. А.С. Попова, 2003. Т. 2. - С. 14-15.

12. Вентцель Е.С. Теория вероятностей. – М.: Наука. Главная редакция физико-математической литературы, 1969. - 576 с.

13. Ковалева В.Д., Калинина В.П., Козлов Д.П. Телефония и телефонные станции. – М.: Связь, 1967. – 323 с.

14. Справочник по радиовещанию / А.В. Выходец, В.М. Захарин, Е.М. Рудый, В.И. Денисов: Под общ. ред. Выходца А.В. – Киев: Техника, 1981. – 264 с.

15. Хоровиц П., Хилл У. Искусство схемотехники: В 2 т. Т.1.: Пер. с англ. – Изд. 3, стереотип. – М.: Мир, 1986. – 590 с.

16. Синклер Ян. Введение в цифровую звукотехнику: Пер. с англ. – М.: Энергоатомиздат, 1990. – 80 с.

17. Справочник по теории вероятностей и математической статистике / В.С. Королюк, Н.И. Портенко, А.В. Скороход, А.Ф. Турбин – М.: Наука., 1985. – 640 с.

18.

Бесслер Р., Дойч А. Проектирование сетей связи: Справочник // Пер. с нем. – М.: Радио и связь, 1988. – 272 с.

19. Левин Б.Р. Теоретические основы статистической радиотехники. Книга первая. – М.: Советское радио, 1969. – 752 с.

20. Кухлинг Х. Справочник по физике // Пер. с нем. 2 изд. – М.: Мир, 1985. – 520 с.

21. Справочная книга по технике автоматического регулирования: Под общ. ред. Дж. Дж. Траксела // Пер. с англ. под ред. Райцына Т.М., Фатеева А.В. – Ленинград.: Государственное энергетическое издательство, 1962. – 783 с.

22. Корн Г., Корн Т. Справочник по математике для научных работников и инженеров. // Пер. с англ. – М.: Наука, 1978. - 831 с.

23. Темников Ф.Е., Афонин В.А., Дмитриев В.И. Теоретические основы информационной техники. – М.: Энергия, 1979. - 350 с.

24. Балашов П.А. Защита речевой информации на объекте // Информационно-методический журнал "Конфидент", № 5, 2000. - С. 101-104.

25. Андриянов В.И. и др. "Шпионские штучки" и устройства для защиты объектов информации: Справ. пособие. С-Пб.: Лань, 1996. - 648 с.

26. Герасименко В.Г., Бурмин В.А., Гончаров И.В. Система организационно-распорядительных и нормативно-методических документов по сертификации // Сборник тезисов докладов, 2001. - С. 48-50.

27.

ГОСТ Р 50840 – 95. Государственный стандарт Российской Федерации. Передача речи по трактам связи. Методы оценки качества, разборчивости и узнаваемости. Издание официальное. – М.: Госстандарт России, 1997.

28. Тюлин В.Н. Введение в теорию излучения и рассеяния звука. – М.: Главная редакция физико–математической литературы изд-ва «Наука», 1976. – 256 с.

29. Абрамов Ю.В., Калиниченко М.В., Каргашин В.Л. Опыт практических работ по виброакустической защите выделенных помещений от утечки речевой информации // Научно-практическая конференция «Ключевые проблемы банковской безопасности» Третьего московского международного форума «Технология безопасности – 98». Сборник докладов. – М.: Манеж, 1998. – 247 с.

30. Кученков Е.Б., Музалаев Е.А. Экспериментальная оценка акустической защищенности исследуемых помещений // Вопросы защищенности информации. – М.: 1999. № 3. - С. 75-78.

31. Яковлев А.В., Степанов С.Н. Результаты экспериментальных исследований эффективности защиты акустической речевой информации на оконном стекле при использовании различных генераторов шума: Управление защитой информации // Ежеквартальный российско-белорусский научно-практический журнал, 1998. Т.3. - С.83-86.

32. Яковлев А.В. и др. Использование модулирующих свойств оконных стекол при защите акустической информации в помещениях // Информация и безопасность. Региональный научно-технический вестник, 2000. № 1. - С.105-108.

33.

Гончаров И.В. и др. Применение импульсных помех при защите акустической речевой информации, циркулирующей в выделенном помещении, от утечки по виброакустическому каналу // Информация и безопасность. Региональный научно-технический вестник, 2001. № 1. - С. 84-90.

34. Бендат Дж., Пирсол А. Применение корреляционного и спектрального анализа: Пер. с англ. – М.: Мир, 1983. - 269 с.

35. Железняк В.К., Макаров Ю.К, Хорев А.А. Некоторые методические подходы к оценке эффективности защиты речевой информации // Спецтехника, 2000. № 4. - С.15-18.

36. Вибрация в технике. Измерения и испытания / Под ред. М.Д. Генкина – М.: "Машиностроение", 1981. Т.5. - 432 с.

37. Современная радиолокация (анализ, расчет и проектирование систем): Пер. с англ. под ред. Кобзарева Ю.Б. – М.: Советское радио, 1969. – 704 с.

38. Справочник по основам радиолокационной техники. / Под ред. В.В. Дружинина – М.: Военное издательство, 1967. – 768 с.

39. Гоноровский И.С. Радиотехнические цепи и сигналы: Учебник для вузов. Изд. 2, переработанное и дополненное. – М.: Советское радио, 1971. – 672 с.

40. Теоретические основы радиолокации: Учебное пособие для вузов / Под ред. Я.Д. Ширмана – М.: Советское радио, 1970. – 560 с.