Определение потенциальных каналов и методов несанкционированного доступа к информации

План

 

7.1 Технические каналы утечки информации, их классификация

7.2 Задачи КСЗИ по выявлению угроз и КУИ

7.3 Особенности защиты речевой информации

7.4 Особенности защиты компьютерной информации от утечки по каналам ПЭМИН

 

 

7.1. Технические каналы утечки информации, их классификация

 

Комплексный подход к защите информации предприятия предполагает в первую очередь выявление всевозможных угроз, включая каналы утечки информации. Реализация такого подхода требует объединения различных подсистем безопасности в единый комплекс, оснащенный общими техническими средствами, каналами связи, программным обеспечением и базами данных. При выявлении технических каналов утечки информации рассматриваются основное оборудование технических средств обработки информации (ТСОИ), оконечные устройства, соединительные, линии, распределительные и коммутационные системы, оборудование электропитания, схемы заземления и т. п.

Наряду с основными учитываются и вспомогательные технические средства и системы (ВТСС). К ВТСС относятся [40] следующие:

• различного рода телефонные средства и системы;

• средства и системы передачи данных в системе радиосвязи;

• средства и системы охранной и пожарной сигнализации;

• средства и системы оповещения и сигнализации;

• контрольно-измерительная аппаратура;

• средства и системы кондиционирования;

• средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовешания, телевизоры и радиоприемники и др.);

• средства электронной оргтехники;

• средства и системы электрочасофикации;

• иные технические средства и системы. Рассмотрим подробнее особенности технических каналов утечки информации (ТКУИ), под которыми понимаются совокупности объектов технической разведки, физической среды и средств технической разведки, которыми добываются разведывательные данные.

Классификационными признаками ТКУИ могут быть:

• способ перехвата информации (пассивный, активный);

• физическая природа сигналов-переносчиков информации (электромагнитные, акустические, тепловые колебания, визуальная информация и т.д.).

Основные ТКУИ, имеющиеся в помещении, приведены на рис, 7.1 [3].

Технические каналы утечки информации можно разделить на электромагнитные, электрические и параметрические.

Электромагнитные каналы утечки формируются в результате побочного электромагнитного излучения:

• элементов ТСОИ, сигнал которых (ток, напряжение, частота и фаза) изменяется так же, как и информационный;

• ВЧ-генераторов ТСОИ и ВТСС, которое может непреднамеренно модулироваться электрическим сигналом, наведенным информационным сигналом;

• Н.Ч-усилителей технических средств передачи информации (ТСПИ) в результате случайного преобразования отрицательной обратной связи в паразитную положительную, что может привести к самовозбуждению и переходу усилителя из режима усиления режим авто генерации сигналов, модулированных информационным сигналом.

Электрические каналы утечки появляются вследствие наводки:

• электромагнитного излучения, возникающего при передаче информационных сигналов элементами ТСОИ, а также из-за наличия гальванической связи между соединительными линиями ТСОИ и другими проводниками или линиями ВТСС;

• информационных сигналов в цепи электропитания вследствие магнитной связи между выходным трансформатором усилителя и трансформатором системы электропитания, а также неравномерной нагрузки выпрямителя, приводящей к изменению потребляемого тока в соответствии с изменениями информационного сигнала;

• информационных сигналов в цепи заземления за счет гальванической связи с землей различных проводников (в том числе нулевого провода сети электропитания, экранов) и металлических конструктивных элементов, выходящих за пределы контролируемой зоны безопасности.

Кроме того, электрические каналы утечки могут возникать в результате съема информации с помощью различных автономных аппаратных или так называемых закладных устройств, например минипередатчиков. Излучение этих устройств, устанавливаемых в ТСОИ, модулируется информационным сигналом и принимается специальными устройствами за пределами контролируемой зоны.

Возможно применение специального «ВЧ-облучения», элект­ромагнитное поле которого взаимодействует с элементами ТСОИ

и модулируется информационным сигналом. Это параметрический канал утечки. Описание некоторых каналов утечки информации приведено в табл. 7.1 [2].

 

 

Рис. 7.1. Обобщенная схема технических каналов утечки информации: 1 - утечка за счет структурного звука в стенах и перекрытиях; 2 - съем информации с ленты принтера, плохо стертых дискет и т.п.; 3 - съем информации с использованием видеозакладок; 4- программно-аппаратные закладки и ПК, 5 - радиозакладки в стенах и мебели; 6 - съем информации по системе вентиляции- 7 - лазерный съем акустической информации с окон; 8 - производственные и технологические отходы; 9 - компьютерные вирусы, логические бомбы и т.д.; 10 — съем информации за счет наводок и «навязывания», и -дистанционный съем видеоинформации (оптика); 12 - съем акустической информации с использованием диктофонов; 13 - хищение носителей информации- 14 - высокочастотный канал утечки в бытовой технике: 15- съем информации направленным микрофоном; 16 - внутренние каналы утечки информации (через обслуживающий персонал); 17 - несанкционированное копирова­ние 18 - утечка за счет побочного излучения информации; 19 - съем инфор­мации за счет использования «телефонного уха»; 20 - съем информации с клавиатуры но акустическому каналу; 21 - съем информации с дисплея по электромагнитному каналу; 22 - визуальный съем информации с дисплея и принтера; 23 - наводки по линии коммуникации и сторонние проводники; 24 - утечка через линии связи; 25- утечка по цепям заземления; 26 - утечка по сети электрочасов- 27- утечка по трансляционной сети и громкоговорящей связи; 28 -утечка по охранно-пожарной сигнализации; 29- утечка по сети; 30 - утечка по сети отопления, газо- и водоснабжения, электропитания

 

 

__________________________________________________________________

 

Как указано в нормативном документе [40], перехват информации или воздействие на нее с использованием технических; средств могут вестись:

• из-за границы контролируемой зоны (КЗ) — из близлежащих строений и транспортных средств;

• из смежных помещений, принадлежащих другим учреждение, ям (предприятиям) и расположенным в том же здании, что и объект защиты;

• при посещении учреждения (предприятия) посторонними лицами;

• за счет несанкционированного доступа (несанкционированных действий) к информации, циркулирующей в АС, как с помощью технических средств АС, так и через информационные сети общего пользования.

В качестве аппаратуры перехвата или воздействия на информацию и технические средства могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта защиты либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства перехвата информации - «закладки», размещаемые внутри или вне защищаемых помещений.

Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ. Это возможно, например, вследствие:

• непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем;

• случайного прослушивания телефонных разговоров при проведении профилактических работ в сетях телефонной связи;

• некомпетентных или ошибочных действий пользователей и администраторов АС при работе вычислительных сетей;

• просмотра информации с экранов дисплеев и других средств ее отображения.

 

Таблица 7.1. Описание каналов утечки информации

 

 

Наименование канала утечки	Описание
Акустический	1) Мембранный перенос энергии речевых сигналов через перегородки за счет малой массы и слабого затухания сигнала. 2) Утечка информации за счет слабой акустической изоляции (щелей, неплотностей, от­ верстий). К. таким неплотностям можно отнести: − щели возле закладных труб кабелей, − щели у стояков системы отопления − вентиляцию, − неплотности двери и дверной коробки	\
Вибрационный	Утечка информации за счет продольных колебаний ограждающих конструкций и арматуры системы центрального отопления
Электроакустический	Утечка информации за счет акустоэлектрического преобразования в приемнике линии радиотрансляции
ПЭМИН	Утечка информации за счет модуляции полезным сигналом ЭМ-полей, образующихся при работе бытовой техники

 

 

Выявление и учет факторов, воздействующих или могущих воздействовать на защищаемую информацию (угроз безопасности информации) в конкретных условиях, в соответствии с ГОСТ Р 51275—99 [14] составляют основу для планирован и осуществления мероприятий, направленных на защиту информации на объекте информатизации.

Перечень необходимых мер защиты информации определяется по результатам обследования объекта информатизации с учетом соотношения затрат на защиту информации с возможным ущербом от ее разглашения, утраты, уничтожения, искажения, нарушения санкционированной доступности информации и работой способности обрабатывающих ее технических средств, а также, с учетом реальных возможностей перехвата и раскрытия содержания информации. При этом основное внимание должно быть уделено защите информации, в отношении которой угрозы безопасности информации реализуются без применения сложных технических средств перехвата информации:

• речевой информации, циркулирующей в защищаемых помещениях;

• информации, обрабатываемой средствами вычислительной техники, от несанкционированного доступа и несанкционированных действий;

• информации, выводимой на экраны видеомониторов;

• информации, передаваемой по каналам связи, выходящим за пределы КЗ.

Для зашиты информации рекомендуется использовать сертифицированные по требованиям безопасности информации технические средства обработки и передачи информации, технические и программные средства зашиты информации. Надо учесть, что при обработке документированной конфиденциальной информации на объектах информатизации в государственных органах власти, предприятиях и учреждениях средства защиты информационных систем подлежат обязательной сертификации.

Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации. (Здесь и далее под Аттестацией понимается комиссионная приемка объекта информатизации силами предприятия с обязательным участием специалиста по защите информации.)

Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей учреждений и предприятий, эксплуатируюших объекты и нформатизации.

7.2. Задачи КСЗИ по выявлению угроз и КУИ

Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации — на руководителей подразделений по защите информации (служб безопасности) учреждения (предприятия) [40].

На предприятии должны быть определены подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.

Разработка и внедрение СЗИ осуществляются во взаимодействии разработчика со службой безопасности предприятия-заказчика, которая осуществляет методическое руководство и участвует: в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств зашиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.

Организация работ по созданию и, эксплуатации объектов ин­форматизации и их СЗИ определяется в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по защите информации» и должна предусматривать:

• порядок определения защищаемой информации;

• порядок привлечения подразделений предприятия, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;

• порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;

• порядок разработки, ввода в действие и эксплуатацию объектов информатизации;

• ответственность должностных лиц за своевременность и качество формирования, требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.

Устанавливаются следующие стадии создания системы зашиты информации:

пред проектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;

• стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;

• стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

На предпроектной стадии по обследованию объекта информатизации:

устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информации;

определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;

«определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;

определяются условия расположения объектов информатиза­ции относительно границ КЗ;

определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент,, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;

• определяются режимы обработки информации в АС в целом и в отдельных компонентах;

• определяется класс защищенности АС;

• определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;

• определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.

На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера. Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя.

Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия. Ознакомление специалистов этого предприятия с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.

Аналитическое обоснование необходимости создания СЗИ должно содержать:

• информационную характеристику и организационную структуру объекта информатизации;

• характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;

• возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

• перечень предлагаемых к использованию сертифицированных средств зашиты информации;

• обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения, работ по защите информации;

• оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;

• ориентировочные сроки разработки и внедрения СЗИ;

• перечень мероприятий по обеспечению конфиденциальности', информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика.

Техническое (частное, техническое) задание на разработку СЗИ должно содержать:

• обоснование разработки;

• исходные данные создаваемого (модернизируемого) объекта-иформатизации в техническом, программном, информационном и организационном аспектах;

• класс защищенности АС;

• ссылку на нормативные документы, с учетом которых будет, разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;

• конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса; защищенности АС;

• перечень предполагаемых к использованию сертифицированных средств зашиты информации;

• обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности ист. пользования имеющихся на рынке сертифицированных средств; защиты информации;

• состав, содержание и сроки проведения работ по этапам раз) работки и внедрения;

• перечень подрядных организаций-исполнителей видов работ;

• перечень предъявляемой заказчику научно-технической продукции и документации.

Техническое (частное техническое) задание на разработку СЗИ: подписывается разработчиком, согласовывается со службой без опасности предприятия-заказчика, подрядными организациямиутверждается заказчиком.

В целях дифференцированного подхода к защите информации производится классификация АС по требованиям защищенности от НСД к информации. Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа (РД) Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» оформляются актом.

Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются следующие мероприятия:

• разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;

• разработка раздела технического проекта на объект информатизации в части защиты информации;

• строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;

• разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

• закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;

• закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;

• разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;

• организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

• разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;

• определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;

• выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;

• разработка эксплуатационной документации на объект ин­форматизации и средства зашиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

• выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.

Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных рещений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.

На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проекта
эксплуатационная документация СЗИ:

• пояснительная записка с изложением решений по комплексу организационных мер и программно-техническим (в том числе криптографическим) средствам обеспечения безопасности информации, состава средств защиты информации с указанием их соответствия требованиям ТЗ;

• описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации;

• план организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защит ты информации;

• технический паспорт объекта информатизации;

• инструкции и руководства по эксплуатации технических программных средств защиты для пользователей, администраторов системы, а также для работников службы зашиты информации.

На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

• опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

• приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

•» аттестация объекта информатизации по требованиям безопасности информации.

На этой стадии оформляются:

• акты внедрения средств зашиты информации по результатам их приемо-сдаточных испытаний;

• предъявительский акт к проведению аттестационных испытаний;

•» заключение по результатам аттестационных испытаний.

При положительных результатах аттестации на объект информатизации оформляется аттестат соответствия требованиям по безопасности информации.

Кроме указанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:

• о проектировании объекта информатизации, создании соответствующих подразделений разработки и назначении ответственных исполнителей;

• о формировании группы обследования и назначении ее руководителя;

• о заключении соответствующих договоров на проведение работ;

• о назначении лиц, ответственных за эксплуатацию объекта информатизации;

• о начале обработки в АС (обсуждения в защищаемом помещении) конфиденциальной информации.

В целях своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работо­способность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим зашиты которой определяет государство) и заключается в оценке:

• соблюдения нормативных и методических документов Гостех комиссии России;

• работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

• знаний и выполнения персоналом своих функциональных обязанностей в части зашиты информации.

Таблица 7.2. Основные методы и средства получения и защиты информации

 

	Типовая ситуации	Канал утечки информации	Методы	исредства
			получения информации	защиты
	Разговор в помещении и на улице	Акустический	Подслушивание: диктофон, микрофон, полуактивная система	Шумовые генераторы, поиск закладных устройств, защитные фильтры, ограничение доступа
		Виброакустический	Стетоскоп, вибродатчик
		Гидроакустически и	Гидроакустический датчик
		Аку сто электронный	Специальные радиоприемники
	Разговор по телефону: проводному радиотелефону	Акустический	Подслушивание (диктофон, микрофон, полуактивная система)	Тоже
		Сигнал в линии	Параллельный телефон, прямое подключение, электромагнит­ный датчик, диктофон, телефон­ная закладка	Маскирование, скрёмблирование, шифрование, спецтехника
		Наводки	Специальные радиотехнические устройства	Спецтехника
		ВЧ-сшнал	Радиоприемники	Маскирование, скрёмблирование, шифрование, спецтехника
	Документ на бумаж­ном носителе: изготовление	Непосредственно документ	Кража, прочтение, копирование, фотографирован ие	Ограничение доступа, спец­техника
		Продавливание ленты или.бумаги	Кража, прочтение	Оргтехмероприятия
		Паразитные сигна­лы, наводки	Специальные радиотехнические устройства	Экранирование
		Hen осредственно документ	Кража, прочтение	Специальные методы
	Документ на небумаж­ном носителе: изготовление передача документа по каналам связи	Носитель	Хищение, копирование, считывание	Контроль доступа, физическая зашита, криптозашита
		Изображение на дисплее	Визуальный, копирование, фотографирование	Контроль доступа, физическая защита, криптозащйта
		Паразитные сигна­лы, наводки	Специальные радиотехнические устройства	Контроль доступа, криптозащйта, поиск закладок, экранирование
		Электрический сигнал	Аппаратные закладки
		Программный продукт	Программные закладки
		Электрические и оптические сигналы	Несанкционированное подклю­чение, имитация зарегистриро­ванного пользователя	Криптозащйта
	Производственн ый процесс	Отходы, излучение и т. п.	Спецаппаратура различного назначения	Оргтехмероприятия, физическая защита
	Работа с удаленными базами данных	Сигналы, наводки	Программные и аппаратные закладки, несанкционирован­ный доступ, компьютерные вирусы	Криптозащйта, специальное программное обеспечение, оргтехмероприятия, антивирус­ная зашита

Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.

При необходимости по решению руководителя предприятия в местах размещения средств обработки информации могут проводиться работы по обнаружению и изъятию «закладок», предназначенных для скрытого перехвата защищаемой информации. Такие работы могут проводиться организациями, имеющими соответствующие лицензии ФСБ России на данный вид деятельности.

При выборе средств защиты информации можно руководствоваться табл. 7.2 [3].

7.3. Особенности защиты речевой информации

Несмотря на уникальность каждого отдельного объекта защиты, можно выделить типовые сценарии защиты информации. К наиболее типичным задачам можно отнести защиту речевой информации:

в выделенном помещении, предназначенном для проведения; конфиденциальных переговоров, в кабинетах руководства предприятия (защищаемые помещения — ЗП);

на абонентском участке телефонной линии;

на всем протяжении телефонной линии (от одного аппарата до другого, включая АТС и магистральный участок).

Рекомендации нормативного документа [40] по защите речевой информации следующие.

В учреждении должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП.

Защищаемые помещения должны размешаться в пределах КЗ. При этом рекомендуется размещать их на удалении от границ К3,5 обеспечивающем эффективную защиту. Ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий). Не рекомендуется располагать ЗП на первых этажах зданий.

Для исключения просмотра текстовой и графической конфи­денциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).

Защищаемые помещения рекомендуется оснащать сертифици­рованными по требованиям безопасности информации ОТСС и ВТСС либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию. Эксплуатация ОТСС, ВТСС должна осуществляться в строгом соответствии с предписаниями и эксплуатационной документацией на них.

Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств перехвата информации «закладок» проводится, при необходимости, по решению руководителя предприятия.

Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке и ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера следует отключать их от сети на время проведения этих мероприятий.

Для исключения возможности утечки информации за счет элек­троакустического преобразования рекомендуется использовать в ЗП в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.

Для исключения возможности скрытного подключения ТА и прослушивания ведущихся в ЗП разговоров не рекомендуется устанавливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не являющиеся сотрудниками учреждения (предприятия).

В случае необходимости рекомендуется использовать сертифи­цированные по требованиям безопасности информации цифровые АТС либо устанавливать в эти помещения аналоговые аппараты.

Ввод системы городского радиотрансляционного, вещания на территорию учреждения (предприятия) рекомендуется осуществлять через радиотрансляционный узел (буферный усилитель), размещаемый в пределах контролируемой зоны.

При вводе системы городского радиовещания без буферного усилителя в ЗП следует использовать абонентские громкоговорители в защищенном от утечки информации исполнении, а также трех программные абонентские громкоговорители в режиме приема второй и третьей программ (с усилителем). В случае использования однопрограммного или трех программного абонентского громкоговорителя в режиме приема первой программы (без усиления) необходимо их отключать на период проведения конфи­денциальных мероприятий.

При размещении внутри КЗ электрочасовой станции использование в ЗП электровторичных часов (ЭВЧ) возможно без средств

зашиты информации. При установке электрочасовой станции вне КЗ в линии ЭВЧ, имеющие выход за пределы КЗ, рекомендуется устанавливать сертифицированные средства защиты информацию

Системы пожарной и охранной сигнализации ЗП должны строжиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне. В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию.

Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП. Проверка достаточности звукоизоляции осуществляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем. При этом уровень тестового речевого сигнала не может быть ниже используемого во время штатного режима
эксплуатации помещения.

Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляциионных каналов.

Если предложенными выше методами не удается обеспечишь необходимую акустическую защиту, следует применять организационно-режимные меры, ограничивая на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП.

Для снижения вероятности перехвата информации по вибро-акустическому каналу следует организационно-режимными, исключить возможность установки посторонних предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования). Для снижения уровня; виброакустического сигнала рекомендуется расположенные в ЗИ элементы инженерно-технических систем отопления и вентиляции оборудовать звукоизолирующими экранами.

Если указанные выше меры зашиты информации от утечки по акустическому и виброакустическому каналам недостаточны или; нецелесообразны, рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления. Для этой цели должны применяться сертифицированные средства активной защиты.

При эксплуатации ЗП необходимо предусматривать организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение:

• двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;

• выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;

• установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации учреждения (предприятия).

 

7.4. Особенности защиты компьютерной информации от утечки по каналам ПЭМИН

Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке и хранении, при ее передаче по каналам связи. СЗИ АС можно разделить на две составляющие: подсистема ЗИ от НСД (рассмотрена в гл. 8) и подсистема ЗИ от утечки по каналам по­бочных электромагнитных излучений и наводок (ПЭМИ Н). Имен­но эта подсистема и рассматривается в данном пункте.

Важность защиты от утечки по каналам ПЭМИН обусловлена тем, что все средства вычислительной техники в процессе работы излучают энергию в широком частотном диапазоне. Эта энергия может выступать в качестве несущего колебания и быть промоду-лирована информационной составляющей. Известны опыты по перехвату ЭМИ монитора компьютера на расстоянии нескольких сотен метров.

Естественно, что кроме побочных имеются и «основные» колебания, например создаваемые вокруг кабеля связи при передаче по нему информации. Необходимо реализовать защиту от утечки информации по этим каналам.

Кроме того, работающее СВТ создает наводки в цепях электропитания, заземления, находящихся рядом ВТСС, выступающих в качестве случайных антенн. Так, одним из методов криптоанализа является измерение потребляемого шифровальной аппаратурой тока. Если не принять специальных мер, то по изменению величины этого тока можно судить о битах вводимых ключей, особенностях неизвестного нарушителю криптоалгоритма.

В это же направление деятельности по ЗИ попадает и защита от утечки информации за счет специальных воздействий.

В качестве основных технических мер зашиты информации АС (кроме ЗИ от НСД) рекомендуются [40]:

• использование сертифицированных серийно выпускаемых/в защищенном исполнении технических средств обработки, передачи и хранения информации;

• использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;

• использование сертифицированных средств защиты информации;

• размещение объектов защиты на максимально возможном' расстоянии относительно границы контролируемой зоны;

• размещение понижающих трансформаторных подстанций' электропитания и контуров заземления объектов защиты в пределах КЗ;

• развязка цепей электропитания объектов зашиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

• электромагнитная развязка между линиями связи и. другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация использование защищенных каналов связи (защищенных ВОЛ С) и криптографических средств ЗИ;

• размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;

• криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости определяемой особенностями функционирования конкретных АС и систем связи);

• предотвращение внедрения в автоматизированные системы программ -вирусов, программных закладок.

Так, в США активно разрабатывалась технология Tempest, заключающаяся в перехвате информации, излучаемой мониторами. В программное обеспечение CВТ может быть внедрена закладка, осуществляющая незаметное для пользователя модуляцию излучения монитора важной информацией, и эта информация станет доступной нарушителю.

Для обработки информации, составляющей служебную и ком­мерческую тайну, а также для обработки персональных данных следует использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216 — 91; ГОСТ Р 50948-96; ГОСТ Р 50949-96; ГОСТ Р 50923-96; Сан-ПиН 2.2.2.542-96).

Для повышения уровня защищенности информации рекомендуется использовать сертифицированные по требованиям безопасности информации СВТ.

Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы.

Тема 8.