Міністерство освіти і науки України

_____________________

Одеська національна академія зв’язку ім. О.С. Попова

_________________________________________________________________

Кафедра інформаційної безпеки та передачі даних

Голев Д.В., Кононович В.Г., Хомич С.В.

МЕТОДИКИ ОЦІНКИ ІНФОРМАЦІЙНОЇ ЗАХИЩЕНОСТІ ТЕЛЕКОМУНІКАЦІЙ

Частина 1 

Технічний контроль ефективності заходів захисту інформації

Навчальний посібник

галузі знань 1601, 1701 «Інформаційна безпека» за спеціальністю 7.17010201, 8.17010201 – Cистеми технічного захисту інформації, автоматизації її обробки

За ред. чл.-кор. МАЗ В.Г. Кононовича

Одеса 2013

УДК 004.056.5(075.8); 681.336; 342.4 План НМВ 2013 р.

ББК 32.81; 32.88

Г64

Рецензенти:

Баранов П.Ю., д.т.н., професор, директор Інституту радіоелектроніки та телекомунікацій ОНІПУ, завідувач кафедри радіотехнічних систем;

Климаш М.М., д.т.н., професор кафедри Телекомунікації, Національний університет Львівська Політехніка

Кадацький А.Ф., д.т.н., професор кафедри Безпеки виробничих процесів та електроживлення систем зв’язку, Одеська національна академія зв’язку ім. О.С. Попова

Г64  Голев Д.В. Методики оцінки інформаційної захищеності телекомунікацій : навч. посіб. / Голев Д.В., Кононович В.Г., Хомич С.В.; за ред. чл.-кор. МАЗ В.Г. Кононовича. – Одеса: ОНАЗ ім. О.С. Попова, 2013. – 218 с.

ISBN ____________

У навчальному посібнику розглянуто основні положення, теоретичні основи та практичні аспекти методик оцінки інформаційної захищеності. Пояснюються моделі та принципи оцінки ефективності технічного захисту інформації. Описані теорія та методи інструментальної оцінки у дослідженні систем безпеки інформаційних технологій. Розглядаються основні цілі, задачі та порядок проведення атестації комплексів технічного захисту інформації в інфокомунікаціях. Розглядаються методичні основи оцінки ефективності захисту інформаційних ресурсів. Навчальний посібник містить теоретичну частину, контрольні питання, завдання для самостійної роботи, завдання для практичних занять та лабораторних робіт із застосуванням автоматизованих комплексів пошуку та вимірювання інформативних сигналів.

Рисунки, фото екранів автоматизованого вимірювального комплексу АКОР-3ПК друкуються з дозволу НТЦ «Квант», м. Миколаїв.

Навчальний посібник призначено для студентів, які отримують вищу освіту за напрямом „Інформаційна безпека”. Посібник буде також корисним для аспірантів, викладачів, слухачів післядипломної освіти та працівників підприємств галузі зв’язку, що працюють у сфері технічного захисту інформації.

Для студентів старших курсів вищих навчальних закладів.

УХВАЛЕНО кафедрою інформаційної безпеки та передачі даних і рекомендовано до друку Протокол № 10 від 21 травня 2012 р.

ЗАТВЕРДЖЕНО методичною радою академії зв’язку Протокол № 3/14 від 09.04.2013 р.

 Голев Д.В., Кононович В. Г., Хомич С.В., 2013.

 Одеська національна академія зв’язку ім. О.С. Попова, 2013.

ISBN

ЗМІСТ

ВСТУП . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .			5
Розділ 1. ОСНОВНІ ПРИНЦИПИ ОРГАНІЗАЦІЇ ТА ПРОВЕДЕННЯ ОЦІНКИ ІНФОРМЦІЙНОЇ ЗАХИЩЕНОСТІ В ІНФОКОМУНІКАЦІЯХ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .			6
	1.1	Загальні підходи до оцінки інформаційної захищеності . . . . . .	6
	1.2	Правові основи безпеки та оцінки безпеки інформаційної інфраструктури України . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .	9
	1.3	Система організації оцінки безпеки інформаційної інфраструктури України . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .	13
	1.4	Цілі та задачі технічного контролю ефективності заходів захисту інформації . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .	17
	1.5	Задачі та законодавчі основи інструментального контролю захищеності інформації . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .	20
	1.6	Коротка характеристика сучасних джерел радіовипромінювань	23
		Питання до самоконтролю. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .	26
Розділ 2. ЕЛЕМЕНТИ МАТЕМАТИЧНОГО ЗАБЕЗПЕЧЕННЯ КОНТРОЛЮ ЗАХИЩЕНОСТІ ІНФОРМАЦІЇ ВІД ВИТОКУ ТЕХНІЧНИМИ КАНАЛАМИ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .			27
	2.1	Вимірювання частотних та амплітудних характеристик сигналів	27
	2.2	Базові відомості щодо електромагнітного поля та ПЕМВН . . . . .	32
	2.3	Визначення небезпечних зон джерел електромагнітних випромінювань . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .	37
	2.4	Вибір тестів для вимірювання ПЕМВН цифрових сигналів . . . . .	44
	2.5	Оцінка та розрахунок похибки виконаних вимірювань . . . . . . . .	56
		Питання до самоконтролю. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .	59
Розділ 3. МЕТОДИКИ ТЕХНІЧНОГО КОНТРОЛЮ ЕФЕКТИВ-НОСТІ ЗАХОДІВ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ ВІД ВИТОКУ ЕЛЕКТРОМАГНІТНИМИ ПОЛЯМИ . . . . . . . . . . . . . . . . . . .			60
	3.1	Методика вимірювання ПЕМВН від засобів електронно-обчислювальної техніки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .	60
	3.2	Види вимірювань, вимоги до вимірювачів, вибір тестів . . . . . . .	68
	3.3	Вибір тестів для вимірювання ПЕМВН цифрових сигналів рідинно-кристалічного монітора . . . . . . . . . . . . . . . . . . . . . . . . . . .	80
	3.4	Методика контролю захищеності від ПЕМВН периферійних засобів персональних ЕОМ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .	94
		Питання до самоконтролю. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .	103
Розділ 4. МЕТОДИКИ ОЦІНКИ ЗАХИЩЕНОСТІ ІНФОРМАЦІЇ ВІД ВИТОКУ АКУСТИЧНИМИ КАНАЛАМИ ТА КАНАЛАМИ АКУСТОЕЛЕКТРИЧНИХ ПЕРЕТВОРЕНЬ . . . . . . . . . . . . . . . . . . . . . . .			104
	4.1	Основні поняття щодо вимірювань технічних каналів витоку мовної інформації . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .	104
	4.2	Методи захисту та порядок проведення контролю захищеності виділених приміщень від витоку акустичної мовної інформації	107
	4.3	Дослідження впливу акустичного поля на допоміжні технічні засоби та системи . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .	122
	4.4	Вимоги до методики й обладнання для вимірювання каналів витоку з акустоелекричними перетвореннями . . . . . . . . . . . . . . . .	132
		Питання до самоконтролю. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .	141
Розділ 5 ЛАБОРАТОРННЙ ПРАКТИКУМ З АВТОМАТИ-ЗОВАНОГО КОНТРОЛЮ ЗАХИЩЕНОСТІ ІНФОРМАЦІЇ . . . . . . . . .			142
	5.1	Архітектура та функціональні можливості автоматизованого комплексу вимірювань у сфері ТЗІ та радіомоніторингу . . . . . . .	142
	5.2	Заходи та засоби забезпечення живучості автоматизованого комплексу вимірювань і персоналу . . . . . . . . . . . . . . . . . . . . . . . . .	154
	5.3	Завдання до практичного заняття «Архітектура автоматизованого вимірювального комплексу» . . . . . . . . . . . . . .	157
	5.4	Завдання до лабораторної роботи «Використання програмної оболонки й інтерфейсів АКОР-3ПК» . . . . . . . . . . . . . . . . . . . . . . .	158
	5.5	Завдання до лабораторної роботи  «Автоматизовані вимірювання частот і параметрів сигналів» . . . . . . . . . . . . . . . . . .	159
	5.6	Завдання до лабораторної роботи  «Визначення небезпечних зон джерел електромагнітних випромінювань» . . . . . . . . . . . . . .	167
	5.7	Завдання до лабораторної роботи «Дослідження ПЕМВН від відеотракту та монітора електронно-обчислювальної техніки» .	168
	5.8	Завдання до лабораторної роботи «Тести для вимірювання ПЕМВН від засобів електронно-обчислювальної техніки» . . . . .	180
	5.9	Завдання до лабораторної роботи «Дослідження ПЕМВН від периферійних пристроїв електронно-обчислювальної техніки» .	184
	5.10	Завдання до лабораторної роботи «Дослідження та вимірювання акустичної та віброакустичної звукоізоляції приміщень» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .	191
	5.11	Завдання до лабораторної роботи «Вивчення методики оцінки захищеності від витоку інформації каналами акусто-електричних перетворень у технічних засобах» . . . . . . . . . . . . .	198
	5.12	Завдання до лабораторної роботи «Вивчення методики пошуку закладних пристроїв методом радіомоніторингу» . . . . . . . . . . . . .	204
	ПЕРЕЛІК ПОСИЛАНЬ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .		211

ВСТУП

Життєдіяльність суспільства, його інформаційна безпека залежить від стабільного функціонування, живучості, надійності та готовності телекомунікаційних мереж. Можливості неконтрольованого впливу, несанкціонованого доступу та інших загроз вимагають забезпечення кібербезпеки, яка є головною частиною національної безпеки у цілому.

Навчальний посібник з нормативної дисципліни «Методики оцінки інформаційної захищеності» повинен допомогти студентам, які навчаються за напрямами підготовки 1601, 1701 галузі знань «Інформаційна безпека», оволодіти теоретичними знаннями та практичними навиками забезпечення кібербезпеки підприємства та звернути увагу на проблеми, які виникають у процесі створення комплексної системи кібербезпеки на підприємствах зв’язку.

Головними розділами курсу є моделі й принципи оцінки ефективності захисту інформації та методи оцінки забезпечення гарантій безпеки. У результаті вивчення дисципліни слухачі здобувають наступні знання та уміння:

– знання призначення, параметрів, обладнання та особливостей проведення вимірювання захищеності інформації від витоку технічними каналами;

– знання призначення, параметрів та особливостей застосування експертних методів оцінки функціональних послуг безпеки у засобах захисту інформації від несанкціонованого доступу, а також оцінки рівня гарантій безпеки у засобах захисту від несанкціонованого доступу;

– знання порядку та методики проведення атестації комплексів технічного захисту інформації та порядку й методики проведення державної експертизи комплексних систем технічного захисту інформації в інфокомунікаціях;

– уміння проводити експертні оцінки реалізації функціональних вимог інформаційної захищеності та виконувати оцінки рівня гарантій безпеки у засобах захисту від несанкціонованого доступу.

Майбутні спеціалісти можуть здійснювати типові задачі діяльності, а саме: готувати та брати участь у проведенні атестації комплексів технічного захисту інформації та державної експертизи комплексних систем технічного захисту інформації в інфокомунікаціях.

У курсі розглядаються такі теми: технічний контроль ефективності заходів захисту інформації; модель та методи оцінки коректності реалізації функціональних критеріїв захисту інформації; вимоги та рівні вимог гарантій засобів захисту; порядок проведення атестації комплексу технічних засобів захисту та державної експертизи комплексної системи технічного захисту інформації. Викладення матеріалу посібника засновано на вітчизняних та міжнародних стандартах. Навчальний посібник містить основний матеріал та контрольні питання для закріплення матеріалу та самостійної роботи.

Навчальний посібник підготували: к.т.н., доцент В.Г. Кононович (вступ, розд. 1, 3, 4, 5), Д.В. Голев (розд. 1.4 – 1.6, 2.3, 5.1 – 5.5), С.В. Хомич (розд. 2, 3.1; 5.6 – 5.10). Основну термінологію складено спільно.

Автори будуть щиро вдячні за конструктивні зауваження та поради.

Частина перша

ТЕХНІЧНИЙ КОНТРОЛЬ ЕФЕКТИВНОСТІ ЗАХОДІВ ЗАХИСТУ ІНФОРМАЦІЇ

Розділ 1 

ОСНОВНІ ПРИНЦИПИ ОРГАНІЗАЦІЇ ТА ПРОВЕДЕННЯ ОЦІНКИ ІНФОРМЦІЙНОЇ ЗАХИЩЕНОСТІ В ІНФОКОМУНІКАЦІЯХ

1.1 Загальні підходи до оцінки інформаційної захищеності

Особливості безпеки полягають у тому, що вони, як правило, збільшують вартість системи та можуть ускладнити її використання [1, с. 35]. Таким чином, перед проектуванням системи безпеки (а краще, безпечної системи) спочатку необхідно ідентифікувати конкретні природні та антропогенні загрози, проти яких потрібен захист. Це відомо як оцінка загроз. Система уразлива у багатьох відношеннях, але використовуються лише деякі з уразливостей, тому що атакуючому недостає сприятливих можливостей, або тому що результат не виправдовує зусилля й є ризик виявлення. Детальні проблеми оцінки загроз, у широкому плані включають:

– ідентифікацію (визначення) уразливості системи;

– аналіз імовірності загроз, що спрямовуються на експлуатацію цієї уразливості;

– оцінювання наслідків, якщо кожна загроза може успішно здійснюватися;

– обчислення (оцінювання) вартості кожної атаки;

– оцінювання вартості потенційних контрзаходів;

– вибір механізмів безпеки, які обґрунтовані, можливо за допомогою використання аналізу вартості отриманої вигоди.

Нетехнічні заходи, як наприклад стнаводрахове забезпечення, можуть бути частковими економічними альтернативами технічним заходам безпеки. Повна технічна безпека, подібно повній фізичній безпеці, неможлива. Таким чином, задача полягає у тому, щоб вартість атаки стала достатньо високою, так щоб скоротився ризик до прийнятного рівня.

Має місце багатоплановість та надзвичайно широкий діапазон фізичних і логічних процесів оцінки захищеності інформаційних ресурсів.

Канали витоку можуть бути акустичними, віброакустичними, акустоелектричними та електроакустичними, електричними, електро-магнітними, побічних електромагнітних випромінювань та наведень (ПЕМВН), зокрема лазерними та інфрачервоними, оптикоелектронними, є різні параметричні технічні канали, хімічні, радіаційні канали витоку, оптичні (оптичного спостереження), витоку комутованими лініями, а також канали фізичного та нефізичного (віртуального, зокрема, віддаленого) несанкціонованого доступу до комп’ютерних систем.

Методи технічних розвідок дозволяють виявляти інформаційну складову сигналів на рівні природних завад, а за умови застосування спеціального цифрового оброблення сигналів (кореляційного аналізу тощо) й дещо нижче рівня природних завад. З іншого боку, каналами несанкціонованого витоку інформації можуть бути лінії електроживлення напругою 220/380 В.

Стає важливим проведення оцінок захищеності інформації у середовищах принципово різної природи – у фізичних середовищах й у віртуальних комп’ютерних середовищах. Для інфокомунікацій характерним є тісна взаємо-залежність цих середовищ: віртуальне середовище створюється операційними системами, програмними застосуваннями, протоколами, процедурами послуг тощо, а носіями віртуального середовища є фізичні канали, системи, інтерфейси, комутатори, інше обладнання.

У фізичних середовищах оцінка захищеності інформації здійснюється шляхом вимірювання фізичних величин: сили або напруги струму, напруженості електромагнітного або акустичного поля, звукового тиску тощо. Для оцінки захищеності обчислюється відношення або логарифм відношення значення фізичної величини до величини рівня завад. Головними оцінками є обчислена величина захищеності та величина похибки оцінки, які визначають разом певний рівень довіри до оцінки. Сигнали у фізичних середовищах мають скінченну дальність свого поширення, яка залежить від рівня сигналу джерела інформації.

У відповідності до Закону України «Про метрологію та метрологічну діяльність» діє Державна метрологічна система. Вона створює необхідні засади для забезпечення єдності вимірювань у державі, а її діяльність направлена на:

– реалізацію єдиної технічної політики у сфері метрології;

– захист громадян і національної економіки від наслідків недостовірних результатів вимірювань;

– підвищення рівня фундаментальних досліджень і наукових розробок;

– економію всіх видів матеріальних ресурсів;

– забезпечення якості та конкурентоспроможності вітчизняної продукції;

– створення нормативно-правових, нормативних, науково-технічних та організаційних основ забезпечення єдності вимірювань у державі.

Діяльність щодо забезпечення функціонування та розвитку державної метрологічної системи координує спеціально уповноважений центральний орган виконавчої влади у сфері метрології.

У віртуальних комп’ютерних середовищах інформація зберігається у кодованому вигляді. Фізичні параметри сигналів у комп’ютерних системах надто мало визначають зміст інформації. Знаки місцем свого існування мають коди. У віртуальному середовищі можливий віддалений доступ через телекомунікаційні канали. Дальність розповсюдження інформації практично безмежна, як на Землі, так і в Космосі. Поняття «периметра» має смисл лише для фізичного доступу.

У віртуальних комп’ютерних середовищах неможливо знайти фізичні величини, які характеризували б захищеність інформації. Інструментальні вимірювання мають лише допоміжне значення. На щастя, для інформаційних сфер, таких як освіта (оцінка успішності навчання), спорт (рейтинг спортсмена), мистецтво (рівень майстерності), оцінка якості продукції тощо, розвинені методи експертних оцінок. Експерти дають якісну оцінку певних явищ, процесів, властивостей тощо у певних умовних «шкалах». Довіра до таких оцінок досягається не величиною похибки вимірювань (вимірювання тут відіграють допоміжну роль), а чітким дотриманням науково обґрунтованої процедури проведення експертизи.

Класифікація та складна система взаємозв’язків методів, засобів, одиниць оцінки, гарантій оцінки, забезпечення єдності оцінки та довіри наведені у табл.  1.1. Далі надамо їм коротке обґрунтування. Детальний розгляд проводиться у наступних розділах, а деякі оцінки розглядаються в інших дисциплінах.

Таблиця 1.1 – Методи, засоби й одиниці оцінки інформаційної захищеності та гарантій захищеності

№ з/п	Вид захисту інформації	Методи та засоби оцінки	Одиниці оцінки	Гарантії оцінки	Забезпечення єдності оцінки та довіри
1	Крипто- графічний	Розрахункові. Стійкість системи шифрування	Час розкриття методом прямого перебору	Теоретичне доведення, експеримент	Досягнута продуктивність обчислювальної техніки
2	Від витоку технічними каналами*	Інструментальні. Метрологічні вимірювальні прилади	Відношення сигнал/шум. , дБ	Клас вимірювальних приладів, похибка вимірювання	Державна метрологічна система
3	Від НСД до комп’ютерних систем	Експертні оцінки, аудит дослідження,	Одиниці умовних шкал	Кваліфікація експертів	Система державної експертизи
4	Від фізичного НСД до носіїв інформації	Експертні оцінки, моделювання, атестація, аудит	Ймовірність подолання рубежів охорони	Кваліфікація експертів	Система атестації КЗЗ – комплексів засобів захисту
5	Організаційні заходи (від людського фактора)	Експертні оцінки, атестація, аудит	Одиниці умовних шкал	Кваліфікація експертів	Система атестації КЗЗ
6	Від вірусів	Експертиза. Статистичні дослідження. Оцінка ризиків	Ймовірності, математичне очікування, дисперсія	Довірчий інтервал (критерій Пірсона тощо)	Сертифікація. Система збору й аналізу статистичних даних
7	За допомогою брандмауерів
8	Система виявлення атак
* Засобом оцінки інформаційної захищеності від витоку хімічними каналами є хімічний аналіз, а одинця оцінки – коефіцієнт концентрації хімічної речовини.

Експертні оцінки сьогодні є найбільш поширеним засобом отримання та аналізу інформації стосовно рівня інформаційної безпеки системи. Успішне застосування методів експертних оцінок у багатьох випадках залежить від правильного застосування математичних методів, за допомогою яких здійснюється аналіз та оброблення експертної інформації. У тих випадках, коли об’єктивної інформації виявляється недостатньо для визначення числового значення необхідного критерію прийняття рішення, мають бути використані суб’єктивні оцінки, засновані на накопиченому досвіді, знаннях, поглядах та здогадках експертів, які залучаються до вироблення суб’єктивної оцінки.

Усі методи експертних оцінок можуть бути представлені двома класами:

– методи формування індивідуальних експертних оцінок;

– методи формування колективних експертних оцінок.

Для обох класів експертних оцінок для формалізації евристичної інформації використовують різні типи шкал, такі як: шкала класифікацій, шкала порядку, шкала інтервалів та шкала відношень.

Отриману від експертів евристичну інформацію необхідно представляти у такій формі, що є зручною для обробки та аналізу. При цьому для формалізації евристичної інформації використовують різні типи шкал.

Задача оцінки об’єкта експертизи за системного проектування повинна бути поставлена таким чином, що б максимізувати достовірність результатів за рахунок зближення суб’єктивних шкал та оцінок експертів. При цьому задача оцінки об’єкта буде зведена до задачі виявлення його корисності.

Окрім методу експертів широко відомі такі методи, як метод взаємного оцінювання, метод послідовного наближення (метод ітерацій), а також неформальні методи оцінювання результатів експертизи.

Кожен із методів має свої недоліки та переваги та дозволяє тою чи іншою мірою якості оцінити поточний або реалізований рівень захищеності системи інформаційної безпеки та бути засобом підтримки прийняття рішень щодо удосконалення захисних заходів.

Найбільш відомі наступні методи експертних оцінок:

– методи парних та послідовних порівнянь;

– метод надання переваг;

– метод рангу;

– метод зважування експертних оцінок та інші.

В основі проведення експертного оцінювання лежать підходи до оцінки суб’єктивної ймовірності. Дослідження проводяться за спеціальними методиками експертного оцінювання ризиків. Інструментом досліджень є опитування та тести для оцінювання загроз та уразливостей.

Детально методики експертних оцінок розглядаються у частині 2 цього навчального посібника.