Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

Тема 6 Лекция 6. Тема Технические средства защиты от наблюдения и линий связи от утечки конфиденциальной информации


Скачать 1.39 Mb.
НазваниеТема Технические средства защиты от наблюдения и линий связи от утечки конфиденциальной информации
АнкорТема 6 Лекция 6
Дата28.02.2023
Размер1.39 Mb.
Формат файлаdoc
Имя файлаТема 6 Лекция 6.doc
ТипДокументы
#959606
страница9 из 10
1   2   3   4   5   6   7   8   9   10

  • режим 1 – обеспечивает доступ ко всему перечню сведений конфиденциального характера. Устанавливается руководящему составу предприятия;

  • режим 2 – обеспечивает доступ к сведениям при выполнении конкретных видов деятельности (финансовая, производственная, кадры, безопасность и т.п.). Устанавливается для руководящего состава отделов и служб;

  • режим 3 – обеспечивает доступ к определенному перечню сведений при выполнении конкретных видов деятельности. Устанавливается для сотрудников - специалистов конкретного отдела (службы) в соответствии с должностными обязанностями.

Таким образом, после составления перечня сведений конфиденциального характера необходимо установить уровень их конфиденциальности, а также режим доступа к ним сотрудников.

Разграничение доступа сотрудников предприятия (фирмы) к сведениям конфиденциального характера целесообразно осуществлять или по уровням (кольцам) конфиденциальности в соответствии с режимами доступа, или по так называемым матрицам полномочий, в которых в строках перечислены должности сотрудников предприятия (фирмы), а столбцах - сведения, включенные в перечень сведений, составляющих коммерческую тайну. Элементы матрицы содержат информацию об уровне полномочий соответствующих должностных лиц (например, “+” – доступ к сведениям разрешен, “-” – доступ к сведениям запрещен).

Далее определяется (уточняется) модель вероятного противника (злоумышленника, нарушителя), которая включает определение уровня оснащения противника, заинтересованного в получении информации, и его возможностей по использованию тех или иных технических средств разведки для перехвата информации.

В зависимости от финансового обеспечения, а также возможностей доступа к тем или иным средствам разведки, противник имеет различные возможности по перехвату информации. Например, средства разведки побочных электромагнитных излучений и наводок, электронные устройства перехвата информации, внедряемые в технические средства, лазерные акустические системы разведки могут использовать, как правило, разведывательные и специальные службы государств.

Для обеспечения дифференцированного подхода к организации защиты информации от утечки по техническим каналам защищаемые объекты должны быть отнесены к соответствующим категориям и классам.

Классификация объектов проводится по задачам технической защиты информации и устанавливает требования к объему и характеру комплекса мероприятий, направленных на защиту конфиденциальной информации от утечки по техническим каналам в процессе эксплуатации защищаемого объекта.

Защищаемые объекты целесообразно разделить на два класса защиты (табл. 2).

К классу защиты А относятся объекты, на которых осуществляется полное скрытие информационных сигналов, которые возникают при обработке информации или ведении переговоров (скрытие факта обработки конфиденциальной информации на объекте).

К классу защиты Б относятся объекты, на которых осуществляется скрытие параметров информационных сигналов, возникающих при обработке информации или ведении переговоров, по которым возможно восстановление конфиденциальной информации (скрытие информации, обрабатываемой на объекте).

Таблица 2. Классы защиты объектов информатизации и выделенных помещений

Задача технической защиты информации
Установленный класс защиты

Полное скрытие информационных сигналов, которые возникают при обработке информации или ведении переговоров (скрытие факта обработки конфиденциальной информации на объекте)
А

Скрытие параметров информационных сигналов, которые возникают при обработке информации или ведении переговоров, по которым возможно восстановление конфиденциальной информации (скрытие информации, обрабатываемой на объекте)
Б

При установлении категории защищаемого объекта учитываются класс его защиты, а также финансовые возможности предприятия по закрытию потенциальных технических каналов утечки информации. Защищаемые объекты целесообразно разделить на три категории.

Категорирование защищаемых объектов информатизации и выделенных помещений проводится комиссиями, назначенными руководителями предприятий, в ведении которых они находятся. В состав комиссий, как правило, включаются представители подразделений, ответственных за обеспечение безопасности информации, и представители подразделений, эксплуатирующих защищаемые объекты.

Категорирование защищаемых объектов проводится в следующем порядке:

  • определяются объекты информатизации и выделенные помещения, подлежащие защите;

  • определяется уровень конфиденциальности информации, обрабатываемой ТСОИ или обсуждаемой в выделенном помещении, и производится оценка стоимости ущерба, который может быть нанесен предприятию (организации, фирме) вследствие ее утечки;

  • для каждого объекта защиты устанавливается класс защиты (А или Б) и определяются потенциальные технические каналы утечки информации и специальные технические средства, которые могут использоваться для перехвата информации (табл. 3, 4);

  • определяется рациональный состав средств защиты, а также разрабатываются организационные мероприятия по закрытию конкретного технического канала утечки информации для каждого объекта защиты;

  • для информации, отнесенной к конфиденциальной и предоставленной другой стороной, определяется достаточность мер, принятых по ее защите (меры или нормы по защите информации определяются соответствующим договором);

  • проводится оценка стоимости мероприятий (организационных и технических) по закрытию конкретного технического канала утечки информации для каждого объекта защиты;

  • с учетом оценки возможностей вероятного противника (конкурента, злоумышленника) по использованию для перехвата информации тех или иных технических средств разведки, а также с учетом стоимости закрытия каждого канала утечки информации и стоимости ущерба, который может быть нанесен предприятию вследствие ее утечки, определяется целесообразность закрытия тех или иных технических каналов утечки информации;

  • после принятия решения о том, какие технические каналы утечки информации необходимо закрывать, устанавливается категория объекта информатизации или выделенного помещения (табл. 5).

Результаты работы комиссии оформляются актом, который утверждается должностным лицом, назначившим комиссию.

Таблица 3. Потенциальные технические каналы утечки информации, обрабатываемой ПЭВМ

Технические каналы утечки информации
Специальные технические средства, используемые

для перехвата информации

Электромагнитный (перехват побочных электромагнитных излучений ТСОИ)
Средства разведки побочных электромагнитных излучений и наводок (ПЭМИН), установленные в близлежащих строениях и транспортных средствах, находящихся за границей контролируемой зоны

Электрический (перехват наведенных электрических сигналов)
Средства разведки ПЭМИН, подключаемые к линиям электропитания ТСОИ, соединительным линиям ВТСС, посторонним проводникам, цепям заземления ТСОИ за пределами контролируемой зоны

Высокочастотное облучение ТСОИ
Аппаратура “высокочастотного облучения”, установленная в ближайших строениях или смежных помещениях, находящихся за пределами контролируемой зоны

Внедрение в ТСОИ электронных устройств перехвата информации
Аппаратные закладки модульного типа, устанавливаемые в системный блок или периферийные устройства в процессе сборки, эксплуатации и ремонта ПЭВМ:

  • аппаратные закладки для перехвата изображений, выводимых на экран монитора, устанавливаемые в мониторы ПЭВМ;

  • аппаратные закладки для перехвата информации, вводимой с клавиатуры ПЭВМ, устанавливаемые в клавиатуру;

  • аппаратные закладки для перехвата информации, выводимой на печать, устанавливаемые в принтер;

  • аппаратные закладки для перехвата информации, записываемой на жесткий диск ПЭВМ, устанавливаемые в системный блок.

Аппаратные закладки, скрытно внедряемые в блоки, узлы, платы и отдельные элементы схем ПЭВМ на стадии их изготовления

Таблица 4. Потенциальные технические каналы утечки речевой информации

Технические каналы утечки информации
Специальные технические средства, используемые

для перехвата информации

Прямой акустический (через щели, окна, двери, технологические проемы, вентиляционные каналы и т.д.)

  • направленные микрофоны, установленные в близлежащих строениях и транспортных средствах, находящихся за границей контролируемой зоны;

  • специальные высокочувствительные микрофоны, установленные в воздуховодах или в смежных помещениях, принадлежащих другим организациям;

  • электронные устройства перехвата речевой информации с датчиками микрофонного типа, установленные в воздуховодах, при условии неконтролируемого доступа к ним посторонних лиц;

  • прослушивание разговоров, ведущихся в выделенном помещении, без применения технических средств посторонними лицами (посетителями, техническим персоналом) при их нахождении в коридорах и смежных с выделенным помещениях (непреднамеренное прослушивание)

Акустовибрационный (через ограждающие конструкции, трубы инженерных коммуникаций и т.д.)

  • электронные стетоскопы, установленные в смежных помещениях, принадлежащих другим организациям;

  • электронные устройства перехвата речевой информации с датчиками контактного типа, установленные на инженерно-технических коммуникациях (трубы водоснабжения, отопления, канализации, воздуховоды и т.п.) и внешних ограждающих конструкциях (стены, потолки, полы, двери, оконные рамы и т.п.) выделенного помещения, при условии неконтролируемого доступа к ним посторонних лиц

Акустооптический

(через оконные

стекла)
лазерные акустические локационные системы, установленные в близлежащих строениях и транспортных средствах, находящихся за границей контролируемой зоны

Акустоэлектрический

(через соединительные линии ВТСС)

  • специальные низкочастотные усилители, подключаемые к соединительным линиям ВТСС, обладающим “микрофонным” эффектом, за пределами контролируемой зоны;

  • аппаратура “высокочастотного навязывания”, подключаемая к соединительным линиям ВТСС, обладающим “микрофонным” эффектом, за пределами контролируемой зоны

Акустоэлектромагнитный (параметрический)

  • специальные радиоприемные устройства, установленные в близлежащих строениях и транспортных средствах, находящихся за границей контролируемой зоны, перехватывающие ПЭМИ на частотах работы высокочастотных генераторов, входящих в состав ВТСС, обладающих “микрофонным” эффектом;

  • аппаратура “высокочастотного облучения”, установленная в ближайших строениях или смежных помещениях, находящихся за пределами контролируемой зоны

Таблица 5. Категории объектов информатизации и выделенных помещений

Задача технической защиты информации
Закрываемые технические каналы утечки информации
Установленная категория объекта защиты

Полное скрытие информационных сигналов, возникающих при обработке информации техническим средством или ведении переговоров (скрытие факта обработки конфиденциальной информации на объекте)
все потенциальные технические каналы утечки информации
1

Скрытие параметров информационных сигналов, возникающих при обработке информации техническим средством или ведении переговоров, по которым возможно восстановление конфиденциальной информации (скрытие информации, обрабатываемой на объекте)
все потенциальные технические каналы утечки информации
2

Скрытие параметров информационных сигналов, возникающих при обработке информации техническим средством или ведении переговоров, по которым возможно восстановление конфиденциальной информации (скрытие информации, обрабатываемой на объекте)
наиболее опасные технические каналы утечки информации
3

После установления категории объекта защиты оцениваются возможности по созданию и внедрению СТЗИ силами предприятия (организации, фирмы) или проводится обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации, для проектирования и внедрения СТЗИ. Проводится оценка материальных, трудовых и финансовых затрат на разработку и внедрение СТЗИ, определяются ориентировочные сроки разработки и внедрения СТЗИ.

Результаты аналитического обоснования необходимости создания СТЗИ оформляются пояснительной запиской, которая должна содержать [6, 8, 9]:

  • перечень сведений конфиденциального характера с указанием их уровня конфиденциальности;

  • перечень сотрудников предприятия, допущенных до конфиденциальной информации, с указанием их режима доступа, а при необходимости и матрицы доступа;

  • информационную характеристику и организационную структуру объектов защиты;

  • перечень объектов информатизации, подлежащих защите, с указанием их категорий;

  • перечень выделенных помещений, подлежащих защите, с указанием их категорий;

  • перечень и характеристику технических средств обработки конфиденциальной информации с указанием их места установки;

  • перечень и характеристику вспомогательных технических средств и систем с указанием их места установки;

  • предполагаемый уровень оснащения вероятного противника (конкурента, злоумышленника);

  • технические каналы утечки информации, подлежащие закрытию (устранению);

  • организационные мероприятия по закрытию технических каналов утечки информации;

  • перечень и характеристику предлагаемых к использованию технических средств защиты информации с указанием их места установки;

  • методы и порядок контроля эффективности защиты информации;

  • обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации, для проектирования;

  • оценку материальных, трудовых и финансовых затрат на разработку и внедрение СТЗИ;

  • ориентировочные сроки разработки и внедрения СТЗИ;

  • перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования СТЗИ.

Пояснительная записка подписывается руководителем группы (комиссии), проводившей аналитическое обоснование, согласовывается с руководителем службы безопасности и утверждается руководителем предприятия.

На основе аналитического обоснования и действующих нормативно-методических документов по защите информации от утечки по техническим каналам, с учетом установленного класса и категории защищаемого объекта задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СТЗИ.

Техническое задание (ТЗ) на разработку СТЗИ должно содержать:

  • обоснование разработки;

  • исходные данные объекта защиты в техническом, программном, информационном и организационном аспектах;

  • ссылку на нормативно-методические документы, с учетом которых будет разрабатываться и приниматься в эксплуатацию СТЗИ;

  • конкретные требования к СТЗИ;

  • перечень предполагаемых к использованию технических средств защиты информации;

  • состав, содержание и сроки проведения работ по этапам разработки и внедрения;

  • перечень подрядных организаций - исполнителей различных видов работ;

  • перечень предъявляемой заказчику научно-технической продукции и документации.

Техническое задание на проектирование СТЗИ защищаемого объекта оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Стадия проектирования системы технической защиты информации

Для разработки технического проекта на создание системы технической защиты информации должны привлекаться организации, имеющие лицензию ФСТЭК РФ.

Технический проект СТЗИ должен содержать:

  • титульный лист;

  • пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам;

  • перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;

  • перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;

  • перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;

  • перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;

  • перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;

  • схему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границ контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;

  • технологические поэтажные планы здания (в масштабе) с указанием мест расположения объектов информатизации и выделенных помещений, характеристик их стен, перекрытий, материалов отделки, типов дверей и окон;

  • планы объектов информатизации (в масштабе) с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;

  • план-схему инженерных коммуникаций всего здания, включая систему вентиляции;

  • план-схему системы заземления объекта, с указанием места расположения заземлителя;

  • план-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;

  • план-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;

  • план-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;

  • схемы систем активной защиты (если они предусмотрены техническими заданием на проектирование);

  • инструкции и руководства по эксплуатации технических средств защиты для пользователей и ответственных за обеспечение безопасности информации на объекте информатизации.

Технический проект, рабочие чертежи, смета и другая проектная документация должны быть учтены в установленном порядке.

Технический проект согласовывается со службой (специалистом) безопасности заказчика, органа по защите информации проектной организации, представителями подрядных организаций - исполнителей видов работ и утверждается руководителем проектной организации.

При разработке технического проекта необходимо учитывать следующие рекомендации [1, 2, 4 – 9]:
1   2   3   4   5   6   7   8   9   10

написать администратору сайта