Организация инженерно-технической защиты информации

Министерство Образования РФ
ГБОУ СПО
Пензенское Профессиональное Училище №112

КУРСОВАЯ РАБОТА

обучающегося по специальности

Вычислительные машины, комплексы, системы и сети

на тему:

Организация инженерно-технической защиты информации

Петровой Н.К.

Руководитель: Егорова Н.В.

Пенза, 2011

Содержание работы

Введение

Общие положения защиты информации

Технический канал утечки информации

Демаскирующие признаки объектов

Каналы несанкционированного воздействия

Организационно-технические мероприятия и технические способы защиты информации защищаемого помещения

Организация защиты информации

Список литературы

Введение

Человеческая речь является естественным и наиболее распространенным способом обмена информацией между людьми, и попытки перехвата (подслушивание) этой информации ведутся с древнейших времен до настоящего времени. Определенный интерес в получении речевой информации вызван рядом специфических особенностей, присущих такой информации:

    конфиденциальность - устно делаются такие сообщения и отдаются такие распоряжения, которые не могут быть доверены никакому носителю;

    оперативность - информация может быть перехвачена в момент ее озвучивания;

    документальность - перехваченная речевая информация (речь, не прошедшая никакой обработки) является по существу документом с личной подписью того человека, который озвучил сообщение, так как современные методы анализа речи позволяют однозначно идентифицировать его личность;

    виртуальность - по речи человека можно сделать заключение о его эмоциональном состоянии, личном отношении к сообщению и т.п.

Эти особенности речевых сообщений вызывают заинтересованность у конкурентов или злоумышленников в получении подобной информации. И, учитывая особенности расположения большинства офисов коммерческих предприятий и фирм в жилых домах, разъединенных с неизвестными соседями сбоку, сверху и снизу несущими конструкциями с недостаточной акустической защитой, задача защиты конфиденциальных переговоров становится особо актуальной и достаточно сложной.

Защита информации представляет собой целенаправленную деятельность собственников информации (государства, государственных и федеральных органов, предприятий, учреждений и организаций, коммерческих фирм, отдельных граждан и пр.), направленную на исключение или существенное ограничение неконтролируемого и несанкционированного распространения (утечки) защищаемых ими сведений, а также различных видов воздействий на функциональные информационные процессы, реализуемые собственниками.

Общие положения защиты информации

В основе защиты информации лежит совокупность правовых форм деятельности ее собственника, организационно-технических и инженерно- технических мероприятий, реализуемых с целью выполнения требований по сохранению защищаемых сведений и информационных процессов, а также мероприятий по контролю эффективности принятых мер защиты информации.

Учитывая то, что в новых экономических условиях в нашей стране собственником информации может быть государство, юридическое лицо, группа физических лиц или отдельное физическое лицо, характер проведения защиты информации может быть определен в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственниками информации.

Режим защиты конфиденциальной информации устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии с законодательством Российской Федерации.

Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцированно по результатам обследования объекта защиты, с учетом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесен собственнику информационных ресурсов.

Защита информации должна предусматривать ее сохранность от широкого круга различных угроз, таких, как утечка информации, несанкционированные и непреднамеренные воздействия.

Эти угрозы предусматривают защиту информации не только как деятельность по предотвращению неконтролируемого распространения защищаемой информации от разглашения, несанкционированного доступа к информации и получения различного рода разведками (государственными, конкурента, промышленного шпионажа), но также и от искажения информации, ее копирования, блокировки доступа к информации или ее уничтожения, утрате или уничтожению носителя информации или сбоя его функционирования. При этом не следует забывать о возможности искажения, уничтожения, копирования защищаемой информации или блокирование доступа к ней, а также утраты или уничтожения носителя информации или сбоя его функционирования из-за ошибок пользователя информацией, сбоя технических и программных средств информационных систем или природных явлений или иных нецеленаправленных на изменение информации воздействий.

Такой широкий круг угроз может осуществляться как сотрудниками фирм промышленного шпионажа, конкурентов, различных разведок, так и самими потребителями информации (как правило, из-за низкой квалификации последних), или из-за природных и нецеленаправленных воздействий. Возможные угрозы защищаемой информации, последствия нарушения, возможный нарушитель и объект защиты приведены в таблице:

информация несанкционированный утечка защита

Угроза защищаемой информации

Последствия нарушения

Нарушитель

Объект защиты

Утечка информации

Неконтролируемое распространение, несанкционированный доступ к защищаемой информации, получение информации спецслужбами (конкурента, промышленного шпионажа, разведками, в том числе технической).

Злоумышленник, промышленный шпион, техническая разведка.

Информация, носитель информации, информационный процесс.

Несанкционированные воздействия

Искажение информации, копирование информации, уничтожение информации, блокирование доступа к информации, утрата или уничтожение носителя информации, сбои функционирования носителя информации.

Злоумышленник, промышленный шпион.

Информация, носитель информации, информационный процесс.

Непреднамеренные воздействия

Искажение или уничтожение защищаемой информации, копирование информации, блокирование доступа к информации, утрата или уничтожение носителя информации, сбои функционирования носителя информации.

Пользователь информацией, природные явления, нецеленаправленные действия.

Информация, носитель информации, информационный процесс.

Объектами, в отношении которых необходимо обеспечить защиту в соответствии с поставленной целью защиты, в рассмотренных случаях выступает:

    информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления, а также информация, чувствительная по отношению к несанкционированным действиям с ней (чувствительная информация);

    информационные процессы - процессы создания, обработки, хранения, защиты от внутренних и внешних угроз, передачи, получения, использования и уничтожения информации;

    носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, технических решений и процессов.

Эти объекты, в отношении которых обеспечивается защита проявляются через конкретные физические объекты, с конкретным содержанием технических средств для проведения соответствующей производственной деятельности- предприятий, заводов, фирм, офисов. Учитывая техническую оснащенность современных защищаемых объектов их в подавляющем большинстве можно отнести к объектам информатизации.

К подобным объектам относятся:

    средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;

    технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

    защищаемые помещения (ЗП) - помещения, предназначенные для проведения конфиденциальных переговоров.

Применительно к рассмотренным угрозам необходима защита таких носителей информации, как:

    физическое лицо;

    материальный объект;

    физические поля;

    химические, биологические среды и т.п. и информационных процессов по:

      созданию информации;

      сбору информации;

      обработке информации;

      накоплению информации;

      хранению информации;

      передаче информации;

      преобразованию информации;

      поиску информации;

      получению информации;

      использованию информации;

      уничтожению информации;

      защите информации от внешних угроз (случайные, целенаправленные);

      защите информации от внутренних угроз (случайные, целенаправленные).

Учитывая столь широкий объем защитных мероприятий в целях уменьшения затрат на защиту информации необходимо обоснованное выделение той части информации, которая подлежит защите и организацию ее защиты в соответствии с нормами и требованиями, предъявляемыми собственником и владельцем информации.

Контроль эффективности защиты информации должен содержать проверку соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.

Технический канал утечки информации

Технический канал утечки информации представляет совокупность объекта защиты (источника конфиденциальной информации), физической среды и средства технической разведки (промышленного шпионажа) - TCP, которыми добываются разведывательные данные.

Возникновение технических каналов утечки информации может быть обусловлено физическими полями, химическими, биологическими и др. средами сопутствующими работе объекта или с помощью специально созданных злоумышленником технических средств разведки:

      так обсуждение, передача, обработка информации и создание информации связаны с возникновением соответствующих физических полей (акустическим, гидроакустическим, электромагнитным, магнитным и т.п.) и сред, которые являются источниками каналов утечки информации, в том числе конфиденциальной.

При этом информация может быть перехвачена как непосредственно из этих сопутствующих работе объекта полей, так и через поля, сопутствующие работе других средств, не содержащих конфиденциальной информации, но на элементы которых воздействуют поля от средств, обрабатывающих или передающих конфиденциальную информацию;

    доступ к конфиденциальной информации объекта может быть осуществлен за счет съема этой информации в отраженном сигнале.

При этом выбор параметров облучающего сигнала (вид модуляции, частоту, мощность) злоумышленник выбирает, исходя из условий оптимального получения необходимой информации. Примером могут служить системы лазерного и СВЧ подслушивания, ВЧ- навязывания и т.п.

    технический канал утечки информации может быть сформирован злоумышленником за счет использования технических устройств, позволяющих преобразовать конфиденциальную акустическую информацию к условиям оптимальной ее передачи с объекта.

Например, радиозакладные устройства позволяют преобразовать конфиденциальную акустическую информацию в диапазон радиоволн и существенно повысить дальность ее передачи. Для подобных целей могут быть использованы также различные акустопреобразовательные элементы технических устройств, расположенных в защищаемом помещении;

      информация об объекте может быть получена как за счет излучения объекта, так и анализа информации о воздействии объекта на окружающие физические поля и среды. В этом случае источником информации является, например, изменение состояния физических полей (магнитного, электромагнитного и др.), окружающих объект при его перемещении.

Следует отметить, что условия возникновения ряда других технических каналов утечки информации зависят от природы (физических, химических и др. условий проявления) источников конфиденциальной информации.

Например, возможность образования визуального канала утечки информации зависит от определенных психофизиологических особенностей восприятия наблюдателем объекта, таких как:

      угловые размеры объекта;

      уровни адаптационной яркости;

      контраст объект/фон;

      время восприятия;

      зашумленность изображения.

Каналы утечки информации из технических систем и средств передачи, обработки, хранения и отображения информации

С учетом используемой в защищаемом помещении аппаратуры возможно образование каналов утечки информации и несанкционированного воздействия на неё за счет:

    Низкочастотных электромагнитных полей, возникающих при работе технических средств (ОТСС и ВТСС).

    Воздействия на расположенные в защищаемом помещении технические средства (ОТСС и ВТСС) электрических, магнитных и акустических полей.

    Возникновения паразитной высокочастотной генерации.

    Прохождения опасных информативных сигналов в цепи электропитания и заземления.

    Наводок информативного сигнала через "паразитные" индуктивность, емкость и т.п. цепей управления, питания, заземления и т.п..

    При паразитной модуляции высокочастотного сигнала информативными.

    Вследствие ложных коммутаций и несанкционированных действий и т.п.

При передаче конфиденциальной информации в элементах схем, конструкций, подводящих и соединяющих проводов технических средств протекают токи опасных информативных сигналов.

Т.к. элементы технических средств, расположенных в защищаемом помещении, могут представлять собой сосредоточенные случайные антенны (аппаратура и ее блоки) или распределенные случайные антенны (кабельные линии и провода), то комбинация таких источников информативного сигнала и случайных антенн может привести к образованию каналов утечки информации. Источниками возникновения электромагнитных полей в используемых системах и средствах могут быть неэкранированные провода, разомкнутые контуры, элементы контрольно-измерительных приборов, неэкранированные оконечные устройства, контрольные гнезда на усилительных блоках и пультах, усилители мощности и линейные усилители, трансформаторы, дроссели, соединительные провода с большими токами, разъемы, гребенки, громкоговорители, кабельные линии и т.п.

Информативные сигналы могут возникать на элементах технических средств, чувствительных к воздействию:

      электрического поля (неэкранированные провода и элементы технических средств);

      магнитного поля (микрофоны, громкоговорители, головные телефоны, трансформаторы, катушки индуктивности, дроссели, электромагнитные реле и т.п.);

      акустического поля (телефонные аппараты (звонковые цепи телефонов), вторичные электрочасы, извещатели охранной и пожарной сигнализации, катушки индуктивности, емкости, динамики громкоговорителей, трансформаторы и т.п.);

      электромагнитного поля.

При наличии в технических средствах и системах, расположенных в защищаемом помещении, элементов, способных преобразовать эти поля в электрические сигналы, возможна утечка информации по незащищенным цепям абонентских линий связи, электропитания, заземления, управления, сигнализации.

Основными параметрами, определяющими возможность утечки конфиденциальной информации по каналам электромагнитных излучений и наводок являются:

    напряженность электрического поля информативного сигнала;

    напряженность магнитного поля информативного сигнала;

    величина звукового давления информативного сигнала;

    величина напряжения информативного опасного сигнала;

    величина напряжения наведенного информативного опасного сигнала;

    величина напряжения шумов (помех);

    величина тока информативного сигнала;

    величина чувствительности к воздействию магнитных полей;

    величина чувствительности аппаратуры к воздействию электрических полей;

    величина чувствительности аппаратуры к воздействию акустических полей;

    отношение "информативный сигнал/шум";

      отношение напряжения опасного сигнала к напряжению шумов (помех) в диапазоне частот информативного сигнала.

Демаскирующие признаки объектов

Демаскирующие признаки - это характерные опознавательные элементы и особенности деятельности объектов и источников разведывательных устремлений, проявляющиеся в опознавательных признаках объекта, признаках его деятельности и в сочетании с рядом дополнительных признаков, позволяющие на основе их анализа вскрывать принадлежность, состав, деятельность и расположение объектов и их составных частей, выявлять их назначение, цели и задачи их деятельности, а также планируемый характер их выполнения.

Под демаскирующими признаками объектов понимают измеряемые (фиксируемые) средствами TCP параметры физических полей, сопутствующих работе объекта (или отраженных объектом), их видовые характеристики (форма, размеры, контрастность и т.п.), искаженные (измененные) наличием объекта параметры естественных полей земли, космоса и океанов (морей), соответствие (или несоответствие) вещественных признаков наблюдаемого объекта искомому, а также определение по полученным данным сведений по состоянию, размещению и возможностям объектов, динамике их действий и намерений, признаков деятельности объектов и их изменений.

Демаскирующие признаки - отличительные особенности объектов наблюдения, позволяющие отличить объект конфиденциальных интересов от других, подобных ему.

К таким признакам можно отнести:

    признаки, характеризующие физические поля, создаваемые объектом - излучения, сопутствующие работе объекта (акустические, электромагнитные, радиационные и т.п.);

    признаки химических и биологических сред, сопутствующих работе объекта;

    признаки характеризующие объект - форму, цвет, размеры самого объекта и его элементов;

      признаки, характеризующие наличие определенных связей между объектом и его элементами (взаимное расположение частей объекта - рудники и заводы по переработке добываемой руды, радиолокатор и пусковая установка и т.п.);

    признаки, характеризующие физические свойства вещества объекта - теплопроводность, электропроводность, структура, твердость и т.п.;

    признаки деятельности защищаемого объекта - загрязнение воды, воздуха и земли продуктами деятельности объекта, следы деятельности, задымленность, запыленность и т.п.;

    расположение объекта (суша, берег, море, река, космос, воздушное пространство и т.п.);

    характеристики объекта, в отраженных им полях, в том числе создаваемых активным средством TCP (световые, радиолокационные, лазерные, гидроакустические);

    движущийся или неподвижный объект;

    деятельность персонала объекта (режим работы, количество персонала, его распределение по элементам объекта и т.п.);

    результаты деятельности объекта и его персонала, отходы деятельности объекта - наличие твердых и жидких отходов, задымленность, следы транспортных средств и т.п.;

    воздействие объекта на окружающие поля (световое, магнитное, гравитационное и т.п.).

Процесс получения информации об объекте с помощью средств TCP складывается из обнаружения объекта и его последующего распознавания по характерным демаскирующим признакам.

Под обнаружением понимается выделение из общей совокупности сигналов одного или группы сигналов, отличающихся по своим характеристикам от общего фона. Различие характеристик объекта и фона называют контрастом, и чем он больше, тем выше вероятность обнаружения объекта.

Демаскирующие признаки радиоизлучений определяются техническими характеристиками радиосигналов - энергетическими, временными, частотными, спектральными, фазовыми, поляризационными, пространственно-энергетическими.

К энергетическим характеристикам можно отнести мощность излучения, напряженность электромагнитного поля, плотность потока мощности, спектральную плотность мощности и т.п.

К временным характеристикам относятся - период следования импульсов, форма импульса и его длительность, длительность серии импульсов и ее период, структура кодовой посылки и т.д.

Спектральные характеристики определяют ширину спектра, вид спектра, форму огибающей спектра, относительную величину отдельных спектральных составляющих и т.д.

К фазовым демаскирующим признакам можно отнести вид фазовой модуляции, параметры этой модуляции, значения и количество дискретных скачков фазы и т.д.

Пространственно-энергетические признаки определяют направление излучения, направление максимума излучения, характеристики диаграммы направленности антенны - ширина диаграммы направленности, уровень боковых лепестков, форму диаграммы и т.д., поляризационные характеристики, вид поляризации (линейная, эллиптическая, круговая), направление вращения вектора электрического поля.

Источниками информации могут стать технические комплексы, системы и образцы различного назначения, их составные части, комплектующие, оборудование и макеты, используемые материалы. Демаскирующими признаками объекта являются его технические характеристики - механические, электрические, технологические, используемые материалы и т.п.

Каналы несанкционированного воздействия

Каналы несанкционированного воздействия (НСВ) на защищаемую информацию - комбинация технического канала передачи и обработки информации (носителя информации), среды распространения информативного сигнала и сигнала воздействия, а также технического средства НСВ (ТС НСВ).

Несанкционированные воздействия могут привести к искажению, блокированию, копированию или уничтожению информации, а также к утрате или уничтожению носителя информации или к сбою его функционирования и т.п.

Средами распространения, как передаваемой информации, так и сигнала НСВ могут служить воздух, вода, линии электропитания и передачи информации и т.п.

Распространенным случаем НСВ является воздействие на линии передачи информации и источники питания, и каналы управления технических средств передачи, обработки и хранения информации.

При этом возможно:

    выведение из строя технических средств обработки и передачи информации;

    блокирование передаваемой или записываемой информации;

    искажение передаваемой информации.

Выведение из строя технических средств в основном связано с выведением из строя элементов электронных устройств (как правило, расположенных на наиболее уязвимом направлении - во входных устройствах).

Подключение средств ТС НСВ может осуществляться как контактным, так и бесконтактным способом.

Широко используется способ воздействия на объекты информатизации, записывающие и передающие устройства радиоизлучениями различной формы, модуляции, мощности, обеспечивающими сбой, блокирование, уничтожение передаваемой или обрабатываемой информации и т.п. Так, например, устройства подавления звукозаписывающей аппаратуры типа УПД-02, Буран-3 и др. обеспечивают подавление записываемых на диктофоны и магнитофоны речевых сигналов с помощью специальных высокочастотных излучений.

Для подобных целей, также широко используют радиоэлектронные помехи - непоражающие электромагнитные или акустические излучения, которые ухудшают качество функционирования РЭС, систем управления оружием или систем обработки информации. Воздействуя на приемные устройства, помехи имитируют или искажают наблюдаемые и регистрируемые сигналы, затрудняют или исключают выделение полезной информации, ведение радиопереговоров и т.п.

На объектах информатизации необходимо предусмотреть защиту чувствительной информации, к которой относятся данные, программы, процессы, управляющие команды, пароли и другие информационные ресурсы, нарушение конфиденциальности или целостности которых может привести к принятию неправильных (неадекватно сложившейся в технологическом процессе экологически опасного производства ситуации) решений, потере управляемости технологическим процессом или даже к аварийным ситуациям.

Организационно-технические мероприятия и технические способы защиты информации защищаемого помещения

Инженерно-техническая защита информации на объекте достигается выполнением комплекса организационно-технических и технических мероприятий с применением (при необходимости) средств защиты информации от утечки информации или несанкционированного воздействия на нее по техническим каналам, за счет несанкционированного доступа и неконтролируемого распространения информации, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств и носителей информации и т.п.

Организационно-технические мероприятия основаны на введении ограничений на условия функционирования объекта защиты и являются первым этапом работ по защите информации. Эти мероприятия нацелены на оперативное решение вопросов защиты наиболее простыми средствами и организационными мерами ограничительного характера, регламентирующими порядок пользования техническими средствами. Они, как правило, проводятся силами и средствами служб безопасности самих предприятий и организаций.

В процессе организационных мероприятий необходимо определить:

а)контролируемую зону (зоны).

Контролируемая зона - территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска. Контролируемая зона может ограничиваться:

    периметром охраняемой территории предприятия;

    частью охраняемой территории, охватывающей здания и сооружения, в которых проводятся закрытые мероприятия;

    частью здания (комнаты, кабинеты, залы заседаний, переговорные помещения, в которых проводятся закрытые мероприятия).

Контролируемая зона при необходимости может устанавливаться большей, чем охраняемая территория, при этом соответствующей службой обеспечивается постоянный контроль над неохраняемой частью территории. Бывают постоянная и временная контролируемые зоны.

Постоянная контролируемая зона - зона, граница которой устанавливается на длительный срок. Постоянная зона устанавливается в случае, если конфиденциальные мероприятия внутри этой зоны проводятся регулярно.

Временная контролируемая зона - зона, установленная для проведения конфиденциальных мероприятий разового характера.

б)выделить из эксплуатируемых технических средств технические средства, используемые для передачи, обработки и хранения конфиденциальной информации (ОТСС).

ОТСС - технические средства, предназначенные для передачи, обработки и хранения конфиденциальной информации. К ним относятся используемые для этих целей:

    системы внутренней (внутриобъектовой) телефонной связи;

    директорская, громкоговорящая диспетчерская связь;

    внутренняя служебная и технологическая системы связи;

    переговорные устройства типа «директор-секретарь»;

    системы звукоусиления конференц-залов, залов совещаний, столов заседаний, звукового сопровождения закрытых кинофильмов;

    системы звукозаписи и звуковоспроизведения (магнитофоны, диктофоны);

    и т.п.

ОТСС по степени их гарантированной защищенности могут быть разделены на следующие:

    сертифицированные по требованиям защиты информации (имеющие соответствующие сертификаты на средства и системы, непосредственно обрабатывающие, хранящие и передающие информацию);

    не имеющие таких сертификатов, но прошедшие инструментальные исследования, позволяющие определить характеристики их защиты (имеющие соответствующие протоколы исследований);

    другие средства и системы.

в)выявить в контролируемой зоне (зонах) вспомогательные технические средства и системы (ВТСС).

ВТСС - средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной (секретной) информации, на которые могут воздействовать электрические, магнитные и акустические поля опасных сигналов. К ним могут относиться:

    системы звукоусиления, предназначенные для обслуживания несекретных мероприятий;

    различного рода телефонные системы, предназначенные для несекретных переговоров и сообщений (городская телефонная связь, системы внутренней телефонной связи с выходом и без выхода в город);

    несекретная директорская, громкоговорящая диспетчерская, внутренняя служебная и технологическая связь, переговорные устройства типа «директор-секретарь»;

    системы специальной охранной сигнализации (ТСО), технические средства наблюдения;

    системы пожарной сигнализации;

    системы звуковой сигнализации (вызов секретаря, входная сигнализация);

    системы кондиционирования;

    системы проводной, радиотрансляционной сети приема программ радиовещания;

    телевизионные абонентские системы;

    системы электрочасофикации (первичная, вторичная);

    системы звукозаписи и звуковоспроизведения несекретной речевой информации (диктофоны, магнитофоны);

    системы электроосвещения и бытового электрооборудования (светильники, люстры, настольные вентиляторы, электронагревательные приборы, проводная сеть электроосвещения);

    электронная оргтехника - множительная, машинописные устройства, вычислительная техника.

ВТСС также рассматриваются и подразделяются на те, которые:

    имеют соответствующие сертификаты;

    не имеют подобных сертификатов, но прошедшие инструментальные исследования (результаты которых представляют исходные данные для проведения мероприятий по защите информации);

    не имеющие сертификатов и результатов исследований.

Использование последней в качестве ВТСС потребует проведения инструментальных проверок для определения возможности их использования.

г)уточнить назначение и необходимость применения ВТСС в производственных и управленческих циклах работы (рекомендуется свести их до минимума);

д)выявить технические средства, применение которых не обосновано служебной необходимостью;

е)выявить наличие задействованных и незадействованных воздушных, наземных, подземных, настенных, а также заложенных в скрытую канализацию кабелей, цепей, проводов, уходящих за пределы контролируемой зоны;

ж)составить перечень выделенных помещений первой и второй групп, в которых проводятся или должны проводиться закрытые мероприятия (переговоры, обсуждения, беседы, совещания) и помещений третьей группы.

Помещения, которые подлежат защите, определяются как выделенные и подразделяются на:

    помещения, в которых отсутствуют ОТСС, но циркулирует конфиденциальная акустическая информация (переговоры, выступления, обсуждения и т.п.);

    помещения, в которых расположены ОТСС и ВТСС и циркулирует конфиденциальная акустическая информация;

    помещения, в которых расположены ОТСС и ВТСС, но циркулирует не конфиденциальная акустическая информация;

    и т.п.

з)выявить наличие в выделенных помещениях оконечных устройств основных ОТСС и ВТСС.

По результатам этих работ, составляются протоколы обследования помещений. Форма протоколов произвольная. Обобщенные данные протоколов оформляются актом, утверждаемым руководством предприятия с приложением следующих документов:

а) планов контролируемой зоны или зон объектов предприятия;

б) перечня выделенных помещений первой, второй и третьей групп с перечнем элементов технических средств (ВТСС и ОТСС), размещенных в них;

в) перечня основных ОТСС;

г) перечня ВТСС, имеющих цепи, выходящие за пределы контролируемой зоны (зон);

д) перечня технических средств, кабелей, цепей, проводов, подлежащих демонтажу;

е) схемы кабельных сетей предприятия с указанием типов кабелей, трасс их прокладки, принадлежности к используемым системам.

Защита информации может осуществляться инженерно-техническими и криптографическими способами.

Техническая защита конфиденциальной информации - защита информации некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения или блокирования.

Технические мероприятия проводятся по мере приобретения предприятием или организацией специальных устройств защиты и защищенной техники и направлены на блокирование каналов утечки конфиденциальной информации и ее защиты от несанкционированного и непреднамеренного воздействия с применением пассивных и активных методов защиты информации.

Необходимость проведения технических мероприятий по защите информации определяется проведенными исследованиями защищаемых (выделенных) помещений с учетом предназначения этих помещений (их категории) и необходимости защиты этих объектов информатизации и расположенных в них средств звукозащиты, звуковоспроизведения, звукоусиления, тиражированного размножения документов, и т.п. При этом в зависимости от циркулирующей в выделенном помещении конфиденциальной информации и наличия ОТСС и ВТСС определяются основные мероприятия по акустической защищенности выделенного помещения; по защите ВТСС, находящихся в помещении, или их замене на сертифицированные, обладающие необходимыми защитными свойствами ВТСС, по защите линий связи ОТСС, по замене ОТСС на сертифицированные и т.п.

Организация защиты информации

Организация защиты информации определяет содержание и порядок действий по обеспечению защиты информации.

Основные направления в организации защиты информации определяются системой защиты, мероприятиями по защите информации и мероприятиями по контролю за эффективностью защиты информации, где:

    предлагаемая система защиты информации - это совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно - распорядительными и нормативными документами по защите информации;

      мероприятие по защите информации определяет совокупность действий по разработке и/или практическому применению способов и средств защиты информации, а мероприятие по контролю эффективности защиты информации - совокупность действий по разработке и/или практическому применению методов (способов) и средств контроля эффективности защиты информации.

Органом защиты информации выступает административный орган, осуществляющий организацию защиты информации.

Объектом защиты является информация, носитель информации, информационный процесс и соответствующее ЗП, в отношении которых необходимо обеспечить защиту в соответствии с поставленной целью защиты информации.

Технику защиты информации составляют средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

К средствам и системам управления защитой информации можно отнести технические и программные средства и системы, используемые для организации и осуществления управления защитой информации.

В мероприятия по защите информации входят способы защиты информации, категорирование, лицензирование, сертификация и аттестация.

Сертификация - это процесс, осуществляемый в отношении такой категории, как "изделие" (средство). В результате сертификации, после выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, или подтверждается качество изделия. Сертификация средств защиты информации - деятельность изготовителей и потребителей средств по установлению (подтверждению) соответствия средств ЗИ требованиям нормативных документов по защите информации, утвержденных государственными органами по сертификации.

Лицензирование - мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действий лицензий, аннулированием действий лицензий и контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий.

Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Аттестация выделенных помещений - первичная проверка выделенных помещений и находящихся в них технических средств на соответствие требованиям защиты. Наряду с аттестацией, выделенные помещения подвергаются периодическим аттестационным проверкам.

Аттестационная проверка выделенных помещений - периодическая проверка в целях регистрации возможных изменений состава технических средств, размещенных в помещениях, выявления возможных неприятностей, регистрации возможных изменений характера и степени конфиденциальности закрытых мероприятий. График периодических аттестационных проверок составляется, исходя из следующих сроков: для помещений первой и второй групп - не реже 1 раза в год; для помещений третьей группы - не реже 1 раза в 1,5 года.

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.

Организационный контроль эффективности защиты информации содержит проверку полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации, а технический контроль эффективности защиты информации - контроль эффективности защиты информации, проводимый с использованием технических средств контроля.

Организация и проведение работ по защите информации с ограниченным доступом определяется «Положением о государственной системе защиты информации в РФ от иностранных технических разведок и от её утечки по техническим каналам».

Организация работ по защите информации

Возлагается на руководителей предприятий и учреждений, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатации.

Методическое руководство и и контроль за эффективностью предусмотренных мер защиты возлагается на руководителей служб безопасности.

Научно-техническое руководство и непосредственную организацию работ по созданию системы защиты информации (СЗИ) - главный конструктор (или другое лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации).

Разработка СЗИ может осуществляться как подразделениями предприятия, так и специализированными предприятиями, имеющими лицензию на этот вид деятельности.

Стадии создания СЗИ

Предпроектная стадия

Стадия проектирования и создания объекта информатизации

Стадия ввода в действие СЗИ

    предпроектное обследование объекта;

    разработка аналитического обоснования необходимости создания СЗИ;

    частные задания на создание СЗИ.

    разработка задания на создание объекта информатизации с учётом требований технического задания на разработку СЗИ;

    проведение строительно-монтажных работ в соответствии с проектной документацией (в т.ч. по разработке СЗИ);

    разработка организационно- технических мероприятий по защите информации;

    приобретение сертифицированных технических, программных и программно-технических средств защиты информационных установок:

    разработка эксплуатационной документации на объект информатизации и средства защиты информации.

    опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами;

    приемо-сдаточные испытания средств защиты информации;

    аттестация объекта информатизации по требованиям безопасности информации.

Система, созданная с использованием такой технологии, обладает гибкостью, расширение системы и изменение её функций или характеристик достигается перестановкой, добавлением или перепрограммированием её компонентов.

Список литературы

    Защита информации и конфиденциальные данные. Романова Д.А. – М.: Ника, 2009.

    Защита компьютерной информации. Эффективные методы и средства. В. Шаньгин. – М.: Просвет, 2006.

    Информация и информатика. О.О. Акимов. – М.: КМ-Сервис, 2009.

    Организация компьютерных сетей. Р.Б. Куликов. – Пенза, 2009.

    Основы защиты информации. Р.Я. Николаенко. – М.: Просвещение, 2000.

    Теоретические основы информатики. Р.Б. Куликов. – Пенза, 2008.

    Теория информации. Д.М. Михайлов. – М.: КМ-Сервис, 2009.