1. Пассивные и активные методы и способы защиты каналов утечки информации
 Скачать 222.15 Kb.
|
|
26 Порядок проведения специальной проверки технических средств. Специальные обследования. Подготовка к проведению специальных обследований. Оценка вероятного противника. Порядок проведения специальной проверки технических средств Проведение специальной проверки по выявлению специальных устройств перехвата (уничтожения) информации в технических средствах осуществляется перед проведением специальных исследований и состоит из следующих этапов: - прием-передача технического средства, формирование исходных данных для составления программы проведения специальной проверки; - разработка программы проведения специальной проверки технического средства; - проведение технических проверок; - анализ результатов специальной проверки, оформление отчетных документов. Для проведения специальной проверки технические средства представляются в полной комплектации, штатной упаковке, в исправном состоянии. Технические средства передаются на специальную проверку по акту приема-передачи. Подписание акта осуществляется только после обязательной проверки работоспособности (исправности) технического средства. В случае если представленное техническое средство не работоспособно (неисправно), проверка не проводится. Представители Заказчика помимо технического средства представляют исходные данные, необходимые для разработки программы проведения специальной проверки. Специальные обследования Специальные обследования выделенных помещений - это комплекс инженерно-технических мероприятий, проводимых с использованием необходимых, в том числе и специализированных технических средств, проводимых с целью выявления возможно внедренных электронных средств съема информации в ограждающих конструкциях, предметах мебели и интерьера выделенных помещений. Подготовка к проведению специальных обследований Учитывая то, что специальные обследования выделенных помещений являются комплексом мероприятий, которые проводятся, как правило, таким образом, чтобы не привлечь внимания вероятного противника, заинтересованного в получении информации ограниченного пользования, циркулирующей в выделенном помещении, специальные обследования проводятся в виде поисковой операции. Проведение поисковой операции тщательно готовится и легендируется под проведение комплекса ремонтно-строительных работ. Общий порядок и алгоритм принятия решения на проведение поисковой операции соответствует рассмотренному в гл. 3 алгоритму принятия решения на организацию защиты от утечки информации, но имеет свои специфические особенности. Рассмотрим общий вариант выполнения подготовки и проведения поисковой операции, проводимой специализированной группой. В рамках подготовки операции необходимо прежде всего провести оценку обстановки, складывающейся в районе проведения поисковой операции. Оценка вероятного противника При подготовке к проведению поисковой операции, как правило, противник нам неизвестен, поэтому построение модели вероятного противника и моделирование его действий зачастую приходится выполнять со слов заявителя. Так, анализируя причины, побудившие заявителя обратиться за помощью, можно получить представление о планах противника. Если речь идет о кустарно изготовленном «жучке», неумело приклеенном жвачкой к столу секретарши, то мы имеем дело с дилетантами, действующими без четкой цели. Если же были неожиданно прекращены удачно начатые переговоры, отмечаются периодические нарушения телефонной связи или есть косвенные подтверждения несанкционированного ознакомления с конфиденциальными сведениями, то противоборствующей стороной преследуются далеко идущие планы. В этом случае с высокой вероятностью можно ожидать выявления каналов утечки, оборудованных на профессиональном уровне. Наряду с вышеизложенным, нужно учитывать, что логика противника субъективна, но направлена на достижение конкретного результата. Тот же кустарный «жук» может успешно решать разовую, конкретную задачу, а может являться и отвлекающим фактором при атаке на более высоком техническом уровне. В результате оценки противника необходимо сделать промежуточные выводы, которые должны позволить получить предварительный облик противника: - характер его действий позволит оценить его потенциальные возможности; - расположение и вид закладных устройств (если они обнаружены до проведения поисковой операции) позволит определить его реальные возможности и выявить связи с работниками вашей организации и т.д. Здесь представлен один из возможных вариантов выводов. Конкретные выводы можно сделать, только получив реальную задачу. 27 Оценка условий, в которых решается задача выявления технических каналов утечки информации. Порядок и последовательность решения проблемы поисковой операции. Условия, в которых решается задача выявление достигается после проведения мероприятий по выявлению технических каналов утечки информации: • специальные проверки; • специальные обследования; • специальные исследования, включающие в себя: o выявление внедренных закладок в защищаемом помещении; o выявление самотехнических и других доработок технических средств и систем (ТСС), приводящих к усилению естественных свойств ТСС; o выявление программных закладок, имеющих процессорное управление. Учитывая то, что специальные обследования выделенных помещений являются комплексом мероприятий, которые проводятся, как правило, таким образом, чтобы не привлечь внимания вероятного противника, заинтересованного в получении информации ограниченного пользования, циркулирующей в выделенном помещении, специальные обследования проводятся в виде поисковой операции. Проведение поисковой операции тщательно готовится и легендируется под проведение комплекса ремонтно-строительных работ. Общий порядок и алгоритм принятия решения на проведение поисковой операции соответствует рассмотренному в гл. 3 алгоритму принятия решения на организацию защиты от утечки информации, но имеет свои специфические особенности. Рассмотрим общий вариант выполнения подготовки и проведения поисковой операции, проводимой специализированной группой. В рамках подготовки операции необходимо прежде всего провести оценку обстановки, складывающейся в районе проведения поисковой операции. Оценка вероятного противника При подготовке к проведению поисковой операции, как правило, противник нам неизвестен, поэтому построение модели вероятного противника и моделирование его действий зачастую приходится выполнять со слов заявителя. Так, анализируя причины, побудившие заявителя обратиться за помощью, можно получить представление о планах противника. Если речь идет о кустарно изготовленном «жучке», неумело приклеенном жвачкой к столу секретарши, то мы имеем дело с дилетантами, действующими без четкой цели. В результате оценки противника необходимо сделать промежуточные выводы, которые должны позволить получить предварительный облик противника: - характер его действий позволит оценить его потенциальные возможности; - расположение и вид закладных устройств (если они обнаружены до проведения поисковой операции) позволит определить его реальные возможности и выявить связи с работниками вашей организации и т.д. Оценка условий, в которых решается поставленная задача После предварительной оценки противника и прикидки его модели действий, оценивают условия, в которых придется решать поставленную задачу: - анализируется расположение объекта на местности с учетом окружающей его территории и размещенных на ней посторонних объектов; - оценивается контролируемая зона и возможности по снятию информации из-за ее пределов; - обследуется сам исследуемый объект. При непосредственном знакомстве с объектом прежде всего выясняют: - взаимное расположение контролируемых и смежных помещений, режимы их посещения; - устанавливают факты и сроки ремонтных работ, монтажа и демонтажа коммуникаций, замены предметов мебели и интерьера; - изготовляют планы помещений, на которые наносят все входящие и проходящие коммуникации; - изучают конструктивные особенности ограждающих поверхностей, материалы покрытий. Особое внимание в условиях плотной застройки уделяют подготовке плана прилегающей территории, которая может быть использована для парковки автомобилей с приемной радиоаппаратурой, развертывания систем видеонаблюдения или дистанционного аудио-контроля. Анализ вероятного противника и объекта действий позволяет сделать выводы и наиболее полно оценить свои возможности и необходимые условия для выполнения поисковых мероприятий. Базируясь на выводах о возможном противнике и данных об объекте, определяют: - виды и объем поисковых действий; - состав измерительной техники и вспомогательного имущества; - необходимое количество специалистов и подсобных рабочих; - временной диапазон проведения операции. Анализируют возможности и условия исследования наиболее уязвимых участков, гарантирующие их конспиративность и качество, оговаривают состав работников заказывающей организации, допущенных к операции, вырабатывают схему поведения в отношении обнаруженных каналов утечки и технических средств, создают достоверную легенду появления на объекте бригады испытателей, вооруженных специальной аппаратурой. При подготовке работ особое внимание необходимо уделить анализу уязвимости коммуникаций, имеющих выход за пределы объекта {силовая сеть, телефония, сигнализация). Помимо того, что по этим линиям может передаваться информация от закладных устройств, на телефонных линиях на всем их протяжении присутствует передаваемая штатно речевая или цифровая информация (факс, модем). Замысел решения на проведение поисковой операции В результате уяснения задачи и оценки обстановки у руководителя операции формируется замысел выполнения поставленной задачи. В нем руководитель намечает порядок и последовательность решения проблем, влияющих на выполнение основной задачи, при этом он определяет: - ответственных за выполнение основных этапов работ; - последовательность и сроки их выполнения; - порядок материального обеспечения; - порядок и последовательность действий при отклонениях и несоблюдении сроков решения основных вопросов; - порядок взаимодействия между исполнителями; - порядок управления и контроля за действиями подчиненных. После оформления решения отрабатывается план-график выполнения работ, в котором отражаются основные вопросы решения: - начало и окончание основных работ; - ответственные исполнители; - последовательность выполнения основных этапов, их взаимосвязь между собой; - организация контроля качества и сроков выполнения основных видов работ. Выполнение поисковых мероприятий Рассмотрим вариант проведения поисковых мероприятий непосредственно на объекте. Первым этапом проводятся исследования, которые условно можно разделить на четыре вида: - радиообнаружение; - осмотр помещения; - обследование электрических и электронных приборов; - проверка проводных коммуникаций. Для их выполнения используют металлодетекторы, нелинейные локаторы, индикаторы электромагнитного поля, сканирующие приемники и радиочастотомеры, переносные рентгеновские и тепловизионные приборы, программно-аппаратные комплексы и прочие имеющиеся в наличии поисковые средства. Досмотр труднодоступных позиций осуществляют с применением зеркал или волоконно-оптических эндоскопов. Радиообнаружение Для эффективного проведения радиообнаружения желательно наличие карты загрузки радиодиапазона (в виде файла или распечатки), полученной на расстоянии от 300 до 1000 м. от объекта. Это позволит при нахождении в ближней зоне действия возможных радиозакладных устройств (непосредственно на объекте) упростить решение задачи с помощью сравнительного анализа загрузки диапазонов. В процессе работы составляют карту загрузки радиочастотного диапазона, отсортировывают сигналы известных станций, идентифицируют источники нелегальных излучений, регистрируя наличие составляющих на частотах второй и третьей гармоник. Не стоит забывать, что с развитием элементной базы, появлением новых методов кодирования и модуляции вероятность использования противником РЗУ с открытым каналом падает, но полностью исключать ее из рассмотрения нельзя. Для повышения скрытности работы противник может использовать разнообразные виды модуляции, работу в занятых каналах, сверхкратковременные и шумоподобные передачи и многие другие методы маскировки (включая удаление передатчика от контролируемого помещения), поэтому эффективность радиоконтроля во многом определяется квалификацией операторов. Универсальными методами остаются сравнительный радиоконтроль и энергетическая локализация с помощью индикаторов ЭМ поля. Первичный осмотр и техническая проверка Второй вид работ, касающийся осмотра помещений, условно можно подразделить на: первичный осмотр и техническую проверку. 28 Выполнение поисковых мероприятий, радиообнаружение. Первичный осмотр и техническая проверка. Проверка электрических и электронных приборов. Проверка проводных коммуникаций. Радиообнаружение. Для достоверного обнаружения радиозакладных устройств желательно иметь карту загрузки радиочастотного диапазона на расстоянии от 300 до 1000 м от объекта (вне зоны действия радиозакладного устройства). Это упрощает обнаружение закладки в ближней зоне ее действия, если провести сравнительный анализ радиочастотного диапазона непосредственно на объекте и в удаленной точке, отбросив сигналы известных станций и нелегальных источников излучений. Современные программно-аппаратные комплексы (например, RS turbo) за счет зондирующего акустического сигнала позволяют проводить обнаружение и локализацию сравнительно простых радиозакладных устройств с постоянной несущей частотой и передачей по открытому каналу. Несмотря на небольшую вероятность применения такие радиозакладные устройства исключать из рассмотрения нельзя. Универсальными методами обнаружения радиозакладных устройств являются сравнительный радиоконтроль и энергетическая локализация с помощью индикаторов электромагнитного поля. Применяемое оборудование: комплекс радиоконтроля, который позволяет обнаружить и локализовать микрорадиопередатчики, составить карты загрузки радиоэфира (базы данных принятых радиосигналов и их характеристик). Эти карты послужат исходным материалом при проведении по следующих проверок на объекте. Осмотр помещения. Осмотр помещения подразделяется на первичный осмотр и техническую проверку Первичный осмотр проводится как визуальный контроль помещения и находящихся в нем предметов. Если имеется план или фотографии, то производят сверку фактического размещения предметов с документально зафиксированным. Электронные приборы временно удаляют или размещают в определенном месте. Мебель отодвигают от стен и осматривают содержимое ящиков. Регистрируют наименования предметов, серийные номера печатей и пломб. Техническую проверку предметов мебели и интерьера проводят при помощи нелинейного локатора и портативного рентгеновского аппарата на подготовленной для этой цели площадке. После проверки подозрительные предметы желательно промаркировать специальными невидимыми при обычном освещении метками. Опись предметов с планом их расположения передают представителю заказчика. Последним этапом аппаратурной проверки является обследование ограждающих конструкций нелинейным локатором. Сначала обследуют все смежные помещения, включая и расположенные на смежных этажах. При этом все электронные устройства внутри выделенного помещения необходимо убрать или отодвинуть от ограждающих поверхностей как можно дальше, так как зона действия нелинейного локатора может быть более 1 м. Для ускорения действий и повышения достоверности результатов обнаружения полупроводниковых устройств желательно использовать нелинейный локатор с индикацией второй и третьей гармоник переотраженного сигнала. По соотношению гармоник распознают коррозионные нелинейности и «чистые» полупроводники. При первом проходе зондируют всю поверхность, отмечая места, где получены сигналы отклика. Для уточнения результатов зондирования нелинейный локатор переносят на другую сторону ограждающей конструкции и снова анализируют ситуацию в подозрительных местах. В подозрительных местах проводят рентгеноскопический анализ для получения окончательных выводов. Эффективность и, следовательно, целесообразность установки противником электронных стетоскопов на хорошо проводящих звук конструкциях из твердых материалов проверяют измерительным электронным стетоскопом. Проверка электрических и электронных приборов. Электрические приборы (настольные лампы, холодильники, электрические удлинители и т.п.) включают в сеть и индикатором электромагнитного поля проверяют наличие радиоизлучений. В подозрительных случаях прибор проверяют более совершенным измерительным комплексом с целью уточнения характеристик излучаемого сигнала, обесточивают, разбирают и осматривают. Значительно сложнее выявить закладные устройства в электронных бытовых приборах и средствах оргтехники, которые сами являются источниками электромагнитных излучений. Поэтому их проверку проводят в специализированных лабораториях, хотя не исключается вариант проверки на месте путем сравнения печатных плат с размещенными компонентами электронной схемы с аналогичными платами от других приборов такого же типа. В процессе сравнения необходимо обращать внимание на наличие дополнительных компонентов схемы неизвестного назначения и подключенных к источнику питания. Особое внимание необходимо обращать на изменение топологии печатной платы, так как внедрение закладки на плату неизбежно приведет к появлению дополнительных электрических соединений. При осмотре электронных приборов необходимо также обращать внимание на изменение внешнего вида радиокомпонентов, наличие на них отверстий небольшого диаметра для микрофона. Проверенные приборы опечатывают пломбами или маркируют ультрафиолетовыми метками. Проверка проводных коммуникаций. Проверка проводных коммуникаций начинается с выяснения трасс прокладки каждой линии. Если имеется техническая документация на монтажные схемы, то ее используют в качестве источника первичной информации. Для уточнения трасс линий применяют трассо и металлоискатели. Проверяются линии электроснабжения, телефонные линии, кабели сигнализации и коммутационные устройства (распределительные щиты, коробки и т.д.). Выясняют наличие посторонних проводников неизвестного назначения. Линии проверяют на наличие модулированных высокочастотных сигналов, а слаботочные линии – на наличие информационных низкочастотных сигналов. При проверке линий их отключают от распределительных щитков, подключают к локатору коммуникаций и нагружают на эквивалентное сопротивление. По результатам локации определяют наличие или отсутствие закладных устройств. Применяемое оборудование: анализатор проводных линий, анализатор параметров телефонной линии, проводной приемник, усилитель НЧ-сигналов, комплект специальных инструментов и принадлежностей, контрольно-измерительные приборы (мегомметр, мультиметр). После проведения специального обследования оформляются следующие отчетные документы: • протоколы с указанием мест реагирования измерительных приборов, участков вскрытия ограждающих конструкций, описанием подозрительных предметов мебели и интерьера; • протоколы изъятия средств съема информации; • заключение об уровне информационной защищенности объекта; • рекомендации по перекрытию технических каналов утечки информации. Документы согласовывают с заказчиком и передают в его службу безопасности. |