Курсовая. Курсовая работа технические средства защиты от утечки информации
 Скачать 62.75 Kb.
|
Аппаратные средства защиты информацииАппаратные средства - это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они препятствуют доступу к информации, в том числе с помощью её маскировки. К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большие объём и масса, высокая стоимость. К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации. Аппаратные средства защиты информации применяются для решения следующих задач: проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации; выявление каналов утечки информации на разных объектах и в помещениях; локализация каналов утечки информации; поиск и обнаружение средств промышленного шпионажа; противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям. По функциональному назначению аппаратные средства могут быть классифицированы на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. При этом по своим техническим возможностям средства защиты информации могут быть общего назначения, рассчитанные на использование непрофессионалами с целью получения предварительных (общих) оценок, и профессиональные комплексы, позволяющие проводить тщательный поиск, обнаружение и прецизионные измерения всех характеристик средств промышленного шпионажа. В качестве примера первых можно рассмотреть группу индикаторов электромагнитных излучений типа ИП, обладающих широким спектром принимаемых сигналов и довольно низкой чувствительностью. В качестве второго примера — комплекс для обнаружения и пеленгования радиозакладок, предназначенного для автоматического обнаружения и определения местонахождения радиопередатчиков, радиомикрофонов, телефонных закладок и сетевых радиопередатчиков. Это уже сложный современный поисково-обнаружительный профессиональный комплекс. Таким является, например, комплекс «Дельта», который обеспечивает: достоверное обнаружение практически любых из имеющихся в продаже радиомикрофонов, радиостетоскопов, сетевых и телефонных передатчиков, в том числе и с инверсией спектра; автоматическое определение места расположения микрофонов в объеме контролируемого помещения. Поисковую аппаратуру можно подразделить на аппаратуру поиска средств съема информации и исследования каналов ее утечки. Аппаратура первого типа направлена на поиск и локализацию уже внедренных злоумышленниками средств несанкционированного доступа. Аппаратура второго типа предназначается для выявления каналов утечки информации. Примером такого комплекса может служить комплекс «Зарница», обеспечивающий измерение параметров побочных электромагнитных излучений в диапазоне частот от 10 кГц до 1 ГГц. Определяющими для такого рода систем являются оперативность исследования и надежность полученных результатов. Модели и методы оценки эффективности защиты информацииОбъекты информатизации вне зависимости от используемых отечественных или зарубежных технических и программных средств аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа к информации, обрабатываемой автоматизированными средствами (в том числе от компьютерных вирусов), и от утечки информации по техническим каналам. Порядок проведения аттестации объектов информатизации на соответствие требованиям безопасности информации включает следующие действия: • подачу заявки на рассмотрение и проведение аттестации; • анализ исходных данных по аттестуемому объекту информатизации; • проведение предварительного специального обследования аттестуемого объекта информатизации; • разработку программы и методики аттестационных испытаний; • заключение договоров на аттестацию; • испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости); • проведение специальных проверок на наличие возможно внедренных электронных устройств перехвата информации; • проведение аттестационных испытаний объекта информатизации; • оформление, регистрацию и выдачу «Аттестата соответствия»; • осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации; • рассмотрение апелляций. Рассмотрим порядок проведения аттестации объектов информатизации на соответствие требованиям безопасности информации от утечки по техническим каналам. Заявитель для получения «Аттестата соответствия» заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации, которые включают: • перечень подлежащих аттестации объектов информатизации и выделенных помещений с указанием для каждого объекта назначения, категории и местоположения; • перечень установленных технических средств обработки информации ограниченного доступа (ТСОИ) с указанием наличия сертификата соответствия (предписания на эксплуатацию), заключением по результатам специальной проверки на наличие возможно внедренных электронных устройств перехвата информации, категорий и мест (помещений) их установки; • перечень установленных вспомогательных технических | средств и систем (ВТСС) с указанием наличия сертификата соответствия, заключения по результатам специальной проверки на наличие возможно внедренных электронных устройств перехвата информации и мест их установки; • перечень установленных технических средств защиты информации с указанием наличия сертификата соответствия и мест их установки. Орган по аттестации в месячный срок рассматривает заявку и на основании исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации. При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному специальному обследованию аттестуемого объекта, проводимые до этапа аттестационных испытаний. При использовании на аттестуемом объекте информатизации несертифицированных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств. Программа испытаний разрабатывается на основе анализа исходных данных об объекте информатизации и должна включать необходимые виды испытаний, определенные методические рекомендации для соответствующих видов объектов информатизации (выделенные помещения, автоматизированные системы, системы связи и т.д.), а также определять сроки, условия и методики проведения испытаний. |