4.5. Технический контроль эффективности защиты информации
Технический контроль эффективности защиты информации осуществляется с помощью специальных технических средств, что и определяет его название. Технический контроль выполнения требований ЗИ от утечки информации по техническим каналам является обязательным условием обеспечения надежной ЗИ /1,24,25/ и заключается в определении соответствия характеристик объекта информатизации заданным требованиям (нормам и допущениям, приведенным в нормативных методических документах). При техническом контроле характеристики ОИ определяются путем проверок и исследований, проводимых на основе:
анализа его параметров и данных о нем, приведенных в эксплуатационных документах и технических паспортах ОИ и ТСОИ, а также средств защиты информации, применяемых на данном ОИ.
анализа его параметров и данных о нем, полученных в результате оценки реальных условий размещения и эксплуатации ОИ, используемых ТСОИ и средств защиты, входящих в состав ОИ.
61
проведение документальной проверки с целью выявления предпосылок к нарушению и самих фактов нарушения ОТТ при защите информации;
проведение специальных проверок, включающих в себя поиск преднамеренно внедренных закладных устройств;
проведение технического контроля (исследований), предназначенных для оценки возможностей утечки информации по техническим каналам.
Последовательность решения этих задач включает в себя алгоритм контроля обеспечения защиты информации, который является алгоритмом комплексного контроля. Данный алгоритм представлен на рис. 4.2.
Контроль ЗИ на ОИ осуществляется периодически согласно требованиям руководящих документов по безопасности информации /26/. Документальная проверка в соответствующем объеме проводится на каждом конкретном ОИ. При этом проверяются следующие исходные данные и документация:
техническое задание на ОИ;
технический паспорт на ОИ;
акты категорирования и классификации;
состав технических средств ОИ;
планы размещения ОТСС и ВТСС;
состав и схемы размещения СЗИ;
план контролируемой зоны;
схемы прокладки линий передачи данных;
схемы и характеристики систем электропитания и заземления;
инструкции по эксплуатации;
предписания на эксплуатацию технических средств и систем;
протоколы специальных исследований средств и систем;
акты (заключения) специальных проверок;
62
Документальная
проверка (в соответствующем объеме) Локализация
канала утечки информации
нет
да
Выдача
рекомендаций по устранению нарушений
нет да
Спецпроверка
в соответствующем объеме Специсследования
в соответствующем объеме
нет да
Выявление
закладных устройств
да
Устранение
соответствующего 
да нет
эксплуатация
Рис. 4.2. Алгоритм комплексного контроля
63
документация по уровню подготовки кадров, обеспечивающих ЗИ;
документация о техническом обеспечении средствами контроля эффективности ЗИ и их проверке;
нормативная и методическая документация по ЗИ и контролю ее эффективности;
прочая документация на ОИ.
Перечисленные задачи, решаемые при контроле ЗИ, включают ряд подзадач.
Задачи контроля, предмет проверки, а также необходимое обеспечение и аппаратура для проведения контроля систематизированы и представлены в табл. 4.1.
Таблица 4.1
|
Задачи контроля |
Предмет проверки и исследования |
Необходимое обеспечение и аппаратура |
|
Подзадачи документальной проверки: - определение наличия/отсутствия регламентной документации; - определение правильности использования документации и правильности ведения документации |
- документация на ОИ
- документация на ОИ
- документация на ОИ
64 |
- нормативно-расчетная документация по ЗИ на ОИ; - документация на ОИ;
- правильность отображения измерений и технических проверок в документации на ОИ |
Продолжение табл. 4.1
|
Задачи контроля |
Предмет проверки и исследования |
Необходимое обеспечение и аппаратура |
|
Подзадачи специальных проверок: - обследование ОИ в целях поиска закладных устройств, возможно размещенных конструкциях, оборудовании, предметах обихода, радиоэлектронной аппаратуре; - ведение радиоконтроля;
- проверка проводных линий в целях поиска закладных устройств, размещенных на них
Подзадачи специальных исследований: - измерение характеристик информативных акустических сигналов;
|
- виброакустические, частотно-энергетические, видовые и прочие характеристики закладных устройств;
- частотно-энергетические характеристики, электромагнитные излучения активных и активизированных закладных устройств; - частотно-энергетические, акустические, видовые и прочие характеристики закладных устройств
- измерение характеристик информативных акустических сигналов;
|
- нормативно-методическое обеспечение по проведению специальных проверок радиоэлектронной и спец. аппаратуры;
- нормативно-методическое обеспечение по проведению радиоконтроля, спец. аппаратура радиоконтроля;
- нормативно-методическое обеспечение по проведению контроля проводных линий, спец. аппаратура контроля проводных линий
-нормативно-методическое обеспечение по проведению измерений характеристик информативных акустических сигналов, генератор акустических колебаний, шумомер с набором микрофонов;
|
69
65
|
Задачи контроля |
Предмет проверки и исследования |
Необходимое обеспечение и аппаратура |
|
- измерение характеристик информативных виброакустических сигналов;
- обнаружение и измерение частот и энергетических характеристик побочных излучений и наводок ТСОИ;
|
-частотно-энергетические характеристики информативных виброакустических сигналов;
-частотно-энергетические характеристики информативных сигналов полей рассеивания ТСОИ, токов и напряжений информативных сигналов в цепях питания и заземления ТСОИ, характеристики модуляции электромагнитных излучений на частотах паразитной модуляции; |
- -нормативно-методическое обеспечение по проведению измерений характеристик информативных виброакустических сигналов;
-нормативно-методическое обеспечение по проведению измерений частотно-энергетических характеристик ПЭМИН ТСОИ, измерительные приемники с набором антенн и устройств и устройств сопряжения с токопроводными линиями, средства обработки измерений; |
66
|
Задачи контроля |
Предмет проверки и исследования |
Необходимое обеспечение и аппаратура |
|
- измерение характеристик акустоэлектрических преобразований;
- измерение характеристик ТСОИ при определении восприимчивости к воздействию ВЧ-навязывания;
- измерение характеристик восприимчивости ТСОИ к воздействию электрических и магнитных полей |
-частотно-энергетические характеристики информативных сигналов и характеристики модуляции электромагнитных излучений, токов и напряжений, возникающих в цепях ТСОИ под воздействием акустических сигналов;
-частотно-энергетические характеристики информативных сигналов под воздействием наведенного ВЧ-сигнала;
- частотно-энергетические характеристики информативных сигналов под воздействием наведенных электрических и магнитных полей |
- нормативно-методическое обеспечение по проведению измерений характеристик акустоэлектрических преобразований, измерительные приемники с набором антенн и устройствами сопряжения с токопроводными линиями, датчик акустического сигнала, средства обработки результатов измерения;
- нормативно-методическое обеспечение по проведению измерений определения восприимчивости к ВЧ-навязыванию, измерительные приемники с набором антенн и устройств сопряжения с токопроводными линиями, источники ВЧ-сигнала;
- нормативно-методическое обеспечение по проведению измерений характеристик восприимчивости ТСОИ к воздействию электрических и магнитных полей, измерительные приемники с набором антенн и устройств сопряжения с токопроводными линиями, устройства обработки результатов измерения |
67
инструментальным, когда в ходе контроля используются технические измерительные средства и моделируются реальные условия работы средств разведки;
инструментально-расчетным, когда измерения проводятся в непосредственной близости от объекта контроля, а затем результаты пересчитываются к условиям предполагаемого средства разведки;
расчетным, когда эффективность защиты оценивается путем расчета, исходя из реальных условий размещения и возможностей средств разведки и известных характеристик объекта контроля.