Бондарев Физическая засчита ядерных обектов 2008
.pdfПолучить защищаемую информацию о ЯО и его СФЗ вероятный нарушитель может посредством:
•санкционированного доступа к защищаемой информации, т.е. использования внутренним нарушителем доступной ему для выполнения служебных обязанностей информации;
•использования технических средств наблюдения и перехвата информации из-за пределов защищаемой зоны, визуального наблюдения за ЯО, в том числе с помощью фотографических и опти- ко-электронных средств;
•разглашения ее обслуживающим персоналом с соответствующими правами доступа;
•осуществления несанкционированного доступа в охраняемые зоны и к информационным ресурсам СФЗ;
•хищения различных информационных носителей.
Сбор информации о ЯО и его СФЗ может осуществляться вероятным нарушителем путем изучения и анализа:
•принципов и структуры построения и функционирования объекта аналогичного класса и его СФЗ;
•степени оснащения объекта техническими средствами обнаружения и техническими конструкциями, выполняющими функцию задержки, построенными на различных физических принципах
иимеющими разную конструкцию, системы организации доступа на ЯО, динамики и организации пропуска на объект грузов, в том числе и ядерных материалов;
•принципов построения технических средств СФЗ по характеристикам их физических полей;
•уязвимых мест технических средств СФЗ, не вызывающих срабатывание датчиков (систем), путем имитации непосредственного вторжения на охраняемую территорию;
481
•тактической схемы действий сил охраны ЯО в различных условиях функционирования объекта с оценкой временных и вероятностных характеристик ложных тревог;
•информативности потоков, циркулирующих в системах (тревожной сигнализации, сигналов изменения логики принятия решений и др.), а также сигналов контроля целостности линий связи;
•возможности подавления (нарушения) функционирования технических средств и средств информатизации СФЗ дистанционными методами (активными помехами, воздействием на датчики средств обнаружения, линии связи, устройства систем сбора и обработки информации, ослепление средств оптического и инфракрасного диапазонов и т.п.);
•функционирования системы защиты информации от НСД в СФЗ с целью ее компрометации;
•возможности воздействия на системы электропитания и заземления средств информатизации;
•пропускной системы и системы доступа на ЯО.
В связи с этим, основной задачей службы безопасности и сил охраны, с точки зрения информационной безопасности, является предотвращение этих акций со стороны вероятного нарушителя и своевременная нейтрализация его действий.
12.7. Мероприятия по комплексной защите информации в СФЗ ЯО
Исходя из модели вероятного нарушителя СФЗ и перечня угроз информационной безопасности, разрабатывается подсистема защиты информации, которая реализуется в виде комплекса средств и мероприятий по защите информации в СФЗ [12.6].
482
Основными направлениями защиты информации являются:
•обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;
•обеспечение защиты информации, в том числе речевой, от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
Подсистема защиты информации должна предусматривать комплекс организационных, программных, технических и криптографических средств и мер по защите информации (рис. 12.1) в процессе традиционного документооборота, при автоматизированной обработке и хранении информации, при ее передаче по каналам связи, при ведении на пунктах управления СФЗ разговоров, раскрывающих информацию с ограниченным доступом в отношении СФЗ.
Подсистема ЗИ (совокупность мер и средств)
Организационные
Программные
Технические
Криптографические
Рис. 12.1. Структура подсистемы ЗИ
В качестве основных мер защиты информации, циркулирующей в технических средствах и обсуждаемой на пунктах управле-
483
ния СФЗ, при транспортировке ЯМ в рамках указанных направлений обеспечения информационной безопасности осуществляются:
•реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации секретного (конфиденциального) характера;
•физическая защита собственно пунктов управления СФЗ и других жизненно важных объектов и технических средств информатизации, в том числе размещенных в транспортных средствах, перевозящих ЯМ, с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения, транспортные средства посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри защищенной зоны технических средств разведки или промышленного шпионажа;
•ограничение доступа персонала и посторонних лиц в здания и
впомещения (в зоны ограниченного доступа), где размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация секретного (конфиденциального) характера, непосредственно к самим средствам информатизации и коммуникациям;
•разграничение доступа пользователей и обслуживающего персонала к данным, программным средствам обработки (передачи) и защиты информации;
•учет документов, информационных массивов, регистрация действий пользователей информационных систем и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
484
•применение сертифицированных по требованиям безопасности информации технических и программных средств;
•криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных СФЗ);
•надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
•необходимое резервирование технических средств и дублирование массивов и носителей информации;
•снижение уровня и информативности ПЭМИН, создаваемых различными элементами автоматизированных систем и технических средств СФЗ;
•снижение уровня акустических излучений;
•электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за пределы контролируемой территории;
•активное зашумление в различных диапазонах;
•противодействие оптическим средствам наблюдения и лазерным средствам перехвата;
•проверка эффективности защиты помещений пунктов управления СФЗ и технических средств и систем в реальных условиях их размещения и эксплуатации с целью определения достаточности мер защиты с учетом установленной категории;
•предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок.
В целях дифференцированного подхода к защите информации, осуществляемого в целях разработки и применения необходимых и
485
достаточных средств защиты информации, а также обоснованных мер по достижению требуемого уровня информационной безопасности, в СФЗ должно проводиться:
•категорирование помещений пунктов управления СФЗ, в которых ведутся конфиденциальные разговоры, раскрывающие особенности функционирования СФЗ;
•категорирование технических средств и систем, предназначенных для обработки, передачи и хранения информации, составляющей государственную тайну;
•классификация автоматизированных систем СФЗ;
•классификация систем транкинговой радиосвязи. Категорирование помещений пунктов управления СФЗ и тех-
нических средств и систем производится в установленном порядке в соответствии с существующими требованиями в зависимости от степени секретности обсуждаемых вопросов (обрабатываемой, хранимой и передаваемой информации) и условий расположения (эксплуатации) этих помещений и средств в охраняемых зонах относительно мест возможного перехвата.
Общие требования и решения по защите информации от несанкционированного доступа определяются на основании Руководящего документа Гостехкомиссии России [12.9], исходя из конкретных условий функционирования АС СФЗ и с учетом таких дополнительных признаков, как:
•категорийность охраняемой зоны физической защиты (защищенная, внутренняя, особо важная);
•особенности полномочий персонала СФЗ по отношению к защищаемым информационным ресурсам АС СФЗ при коллективной обработке данных, включая использование правила «двух (трех) лиц» при выполнении действий в особо важных и локальных высокоопасных зонах;
486
•режим обработки данных в АС СФЗ (автоматический, полуавтоматический).
При классификации систем транкинговой радиосвязи учитываются:
•уровень защищенности ресурсов этих систем (базовых станций, мобильных радиостанций, радиотелефонов), включая циркулирующую в системе информацию (речевую, цифровые информационные и управляющие данные) от НСД;
•уровень их защищенности от отказа или прерывания обслуживания абонентов;
•режим функционирования (автономный, комплексный – с выходом на другие системы связи, включая АТС, УАТС);
•средства и методы администрирования систем транкинговой радиосвязи.
Дифференциация подхода к установлению различных наборов требований по защите информации и выбору методов и средств защиты в зависимости от класса АС СФЗ и категории технических средств и систем определяется уровнем чувствительности ресурсов АС СФЗ по отношению к нарушению их безопасности, а также степенью опасности для людей и окружающей среды в случае осуществления несанкционированных действий с ЯМ и установками, возникающими из-за нарушений информационной безопасности АС СФЗ.
Мероприятия по комплексной защите информации разрабатываются и реализуются в соответствии с требованиями стандартов и иных государственных нормативных документов по защите информации.
Перечень необходимых средств и мер защиты информации определяется по результатам обследования проектируемой (модернизируемой) СФЗ в целом или ее отдельных составляющих. При этом следует учитывать, что стоимость реализации защиты информации
487
должна быть соизмерима с риском, который является приемлемым для конкретного ЯО.
Система физической защиты должна быть аттестована на соответствие требованиям безопасности информации с учетом обработки и передачи в ней сведений соответствующей степени секретности (конфиденциальности).
С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств, должен осуществляться контроль состояния и эффективности защиты информации.
Контроль заключается в проверке по действующим методикам выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер.
12.8. Требования по организации и проведению работ по защите информации в СФЗ ЯО
Проведение работ по защите информации должно проводиться на всех стадиях разработки и внедрения. Основные требования по их организации изложены в отраслевом руководящем документе
[12.7].
Организация и проведение работ по защите информации, составляющей государственную и служебную тайну, на различных стадиях разработки и внедрения СФЗ, в том числе при ее обработке техническими средствами и от утечки по техническим каналам оп-
488
ределяется в целом действующими федеральными и отраслевыми нормативными документами.
Разработка СФЗ и ее подсистемы защиты информации может осуществляться как подразделениями ЯО, так и специализированными предприятиями, имеющими лицензию на соответствующий вид деятельности, в том числе в области защиты информации.
Право на обработку информации, составляющей государственную тайну, предоставляется только предприятиям, получившим лицензию Федеральной службы безопасности на право проведения работ со сведениями, составляющими государственную тайну, а на оказание услуг сторонним предприятиям по разработке подсистемы защиты информации или ее отдельных компонент — предприятиям, имеющим необходимые лицензии на право осуществления соответствующих видов деятельности в области защиты информации.
Научно-техническое руководство и непосредственную организацию работ по созданию подсистемы защиты информации осуществляет главный конструктор СФЗ или другое должностное лицо, обеспечивающее научно-техническое руководство всей разработкой СФЗ.
В случае разработки подсистемы защиты информации или ее отдельных компонентов специализированным предприятием, на ЯО определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием сведений, составляющих государственную и служебную тайну.
Разработка и внедрение подсистемы защиты информации осуществляется во взаимодействии разработчика со службой безопасности ЯО, которая осуществляет на ЯО методическое руководство и участие в разработке конкретных требований по защите инфор-
мации, аналитического обоснования необходимости создания под489
системы защиты информации, согласование выбора средств вычислительной техники и связи, технических и программных средств защиты, организацию работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, участвует в согласовании технических заданий на проведение работ, в аттестации СФЗ.
Порядок организации на ЯО работ по созданию и эксплуатации СФЗ и ее подсистемы защиты информации должен предусматривать:
•определение подразделений, в том числе специализированных предприятий, участвующих в разработке и эксплуатации СФЗ и ее подсистемы защиты информации, их задачи и функции на различных стадиях создания и эксплуатации СФЗ;
•порядок взаимодействия в этой работе предприятий, подразделений и специалистов;
•определение должностных лиц, ответственных за своевременность и качество постановки требований по защите информации, за качество и научно-технический уровень разработки СФЗ.
Ответственность за обеспечение защиты информации об организации и функционировании СФЗ возлагается на руководителя ЯО.
На ЯО в дополнение к действующему «Перечню сведений, подлежащих засекречиванию по Минатому России» разрабатываются перечни сведений конфиденциального характера, раскрывающих особенности функционирования ЯО и его СФЗ, и соответствующая разрешительная система доступа персонала к такому роду информации.
Устанавливаются следующие стадии создания подсистемы защиты информации:
•предпроектная стадия, включающая обследование объекта, для которого создается СФЗ, разработку аналитического обоснова-
490