Несмотря на уникальность каждого отдельного объекта зашиты, можно выделить типовые сценарии защиты информации. К наиболее типичным задачам можно отнести защиту речевой информации:
• в выделенном помещении, предназначенном для проведения конфиденциальных переговоров, в кабинетах руководства предприятия (защищаемые помещения — ЗП);
• на абонентском участке телефонной линии;
• на всем протяжении телефонной линии (от одного аппарата до другого, включая АТС и магистральный участок).
Рекомендации нормативного документа [40] по защите речевой информации следующие.
В учреждении должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП.
Защищаемые помещения должны размещаться в пределах КЗ. При этом рекомендуется размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту. Ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий). Не рекомендуется располагать ЗП на первых этажах зданий.
|
|
Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).
Защищаемые помещения рекомендуется оснащать сертифицированными по требованиям безопасности информации ОТСС и ВТСС либо средствами, прошедшими специальные исследования
I имеющими предписание на эксплуатацию. Эксплуатация ОТСС, В ГСС должна осуществляться в строгом соответствии с предписаниями и эксплутационной документацией на них.
Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств перехвата информации «закладок» проводится, при необходимости, по решению руководителя предприятия.
Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств ютовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке и ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим опреде-i и гелем номера следует отключать их от сети на время проведения этих мероприятий.
Для исключения возможности утечки информации за счет элек-i роакустического преобразования рекомендуется использовать в ill в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет >лектроакустического преобразования.
|
|
Для исключения возможности скрытного подключения ТА и прослушивания ведущихся в ЗП разговоров не рекомендуется устанавливать в них цифровые ТА цифровых АТС, имеющих выход в юродскую АТС или к которой подключены абоненты, не являющиеся сотрудниками учреждения (предприятия).
В случае необходимости рекомендуется использовать сертифицированные по требованиям безопасности информации цифро-иые АТС либо устанавливать в эти помещения аналоговые аппараты.
Ввод системы городского радиотрансляционного вещания на юрриторию учреждения (предприятия) рекомендуется осуществлять через радиотрансляционный узел (буферный усилитель), размещаемый в пределах контролируемой зоны.
При вводе системы городского радиовещания без буферного усилителя в ЗП следует использовать абонентские громкоговорители в защищенном от утечки информации исполнении, а также фехпрограммные абонентские громкоговорители в режиме приема второй и третьей программ (с усилителем). В случае исполь-ювания однопрограммного или трехпрограммного абонентского громкоговорителя в режиме приема первой программы (без усиления) необходимо их отключать на период проведения конфи-ленциальных мероприятий.
При размещении внутри КЗ электрочасовой станции исполь-ювание в ЗП электровторичных часов (ЭВЧ) возможно без средств
Бфмбуннн
зашиты информации. При установке электрочасовой станции вне КЗ в линии ЭВЧ, имеющие выход за пределы КЗ, рекомендуется устанавливать сертифицированные средства защиты информации. Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне. В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сер- j тифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию.
Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП. Проверка достаточности звукоизоляции осуществляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем. При этом уровень тестового речевого сигнала не может быть ниже используемого во время штатного режима эксплуатации помещения.
Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов.
Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организа-1 ционно-режимные меры, ограничивая на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП.
Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (нештатных) предметов на внешней стороне ограждающих конструкций* ЗП и выходящих из них инженерных коммуникаций (систем otoJ пления, вентиляции, кондиционирования). Для снижения уровня виброакустического сигнала рекомендуется расположенные в ЗП элементы инженерно-технических систем отопления и вентиля* ции оборудовать звукоизолирующими экранами.
|
|
Если указанные выше меры зашиты информации от утечки по акустическому и виброакустическому каналам недостаточны пли нецелесообразны, рекомендуется применять метод активного акуи стического или виброакустического маскирующего зашумления Для этой цели должны применяться сертифицированные сред! ства активной зашиты.
При эксплуатации ЗП необходимо предусматривать организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение:
• двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;
• выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;
• установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации учреждения (предприятия).
• 7.4. Особенности защиты компьютерной информации от утечки по каналам ПЭМИН
Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке и хранении, при ее передаче по каналам связи. СЗИ АС можно разделить на две составляющие: подсистема ЗИ от НСД (рассмотрена в гл. 8) и подсистема ЗИ от утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН). Именно эта подсистема и рассматривается в данном пункте.
Важность защиты от утечки по каналам ПЭМИН обусловлена тем, что все средства вычислительной техники в процессе работы излучают энергию в широком частотном диапазоне. Эта энергия может выступать в качестве несущего колебания и быть промоду-лирована информационной составляющей. Известны опыты по перехвату ЭМИ монитора компьютера на расстоянии нескольких сотен метров.
|
|
Естественно, что кроме побочных имеются и «основные» колебания, например создаваемые вокруг кабеля связи при передаче по нему информации. Необходимо реализовать защиту от утечки информации по этим каналам.
Кроме того, работающее СВТ создает наводки в цепях электропитания, заземления, находящихся рядом ВТСС, выступающих н качестве случайных антенн. Так, одним из методов криптоанализа является измерение потребляемого шифровальной аппаратурой тока. Если не принять специальных мер, то по изменению исличины этого тока можно судить о битах вводимых ключей, особенностях неизвестного нарушителю криптоалгоритма.
В это же направление деятельности по ЗИ попадает и зашита от утечки информации за счет специальных воздействий.
В качестве основных технических мер зашиты информации в АС (кроме ЗИ от НСД) рекомендуются [40]:
• использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
• использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
• использование сертифицированных средств защиты информации;
• размещение объектов защиты на максимально возможном расстоянии относительно границы контролируемой зоны;
• размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;
• развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
• электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;
• использование защищенных каналов связи (защищенных ВОЛС) и криптографических средств ЗИ;
• размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;
• организация физической зашиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов! и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;
• криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости определяемой особенностями функционирования конкретных АС и систем связи);
• предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок.
Так, в США активно разрабатывалась технология Tempest, заключающаяся в перехвате информации, излучаемой мониторами В программное обеспечение СВТ может быть внедрена закладка осуществляющая незаметное для пользователя модуляцию излучения монитора важной информацией, и эта информация станея доступной нарушителю.
Для обработки информации, составляющей служебную и комч мерческую тайну, а также для обработки персональных данный следует использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216 — 91; ГОСТ Р 50948-96; ГОСТ Р 50949-96; ГОСТ Р 50923-96; Сан-ПиН 2.2.2.542-96).
Для повышения уровня защищенности информации рекомендуется использовать сертифицированные по требованиям безопасности информации СВТ.
Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства зашиты информации. Применяемые средства защиты информации должны быть сертифицированы.
Глава 8