Защита информации

Техническое (частное техническое) задание на разработку СЗИ подпи­ сывается разработчиком, согласовывается со службой безопасности органи­ зации-заказчика, подрядными организациями и утверждается заказчиком.

В целях дифференцированного подхода к защите информации произ­ водится классификация АС по требованиям защищенности от НСД к ин­ формации.

Класс защищенности АС от НСД к информации устанавливается со­ вместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями действующих норма- тивно-методических документов, а также настоящего документа и оформ­ ляется актом.

Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на осно­ вании которых он был установлен.

Б) На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказ­ чиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

•разработка раздела технического проекта на объект информатиза­ ции в части защиты информации;

•строительно-монтажные работы в соответствии с проектной доку­ ментацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;

•разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

•закупка сертифицированных образцов и серийно выпускаемых в

защищенном исполнении технических средств обработки, переда­ чи и хранения информации, либо их сертификация;

•закупка сертифицированных технических, программных и про­

по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуе­ мые сертифицированные программные средства;

• организация охраны и физической защиты помещений объекта ин­ форматизации, исключающих несанкционированный доступ к тех­ ническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

• разработка и реализация разрешительной системы доступа пользо­ вателей и эксплуатационного персонала к обрабатываемой (обсуж­ даемой) на объекте информатизации информации;

71

•определение заказчиком подразделений и лиц, ответственных за эк­

ции оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказ­ чика в части достаточности мер по технической защите информации и ут­ верждается заказчиком.

Мероприятия по защите информации от утечки по техническим кана­ лам относятся к основным элементам проектных решений, которые вклю­ чаются в соответствующие разделы проекта, и разрабатываются одновре­ менно с ними.

На стадии проектирования и создания объекта информатизации офор­ мляются также технический (техно-рабочий) проект и эксплуатационная документация СЗИ, состоящие из:

•пояснительной записки с изложением решений по комплексу орга­

•описания технического, программного, информационного обеспе­ чения и технологии обработки (передачи) информации;

•плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты ин­ формации;

•технического паспорта объекта информатизации (формы техничес­ ких паспортов на АС и ЗП приведены в приложениях №№ 3 и 4 соответственно);

•инструкций и руководств по эксплуатации технических и программ­

ствляются;

•опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях про­ верки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) инфор­ мации;

•приемо-сдаточные испытания средств защиты информации по ре­

72

зультатам опытной эксплуатации с оформлением приемо-сдаточ­ ного акта, подписываемого разработчиком (поставщиком) и заказ­ чиком;

•аттестация объекта информатизации по требованиям безопаснос­

ти информации.

На стадии ввода в действие объекта информатизации и СЗИ оформля­ ются:

•акты внедрения средств защиты информации по результатам их при­ емо-сдаточных испытаний;

•протоколы аттестационных испытаний и заключение по их резуль­ татам;

•аттестат соответствия объекта информатизации требованиям по бе­ зопасности информации.

Форма «Аттестата соответствия» для АС приведена в приложении № 5, для ЗП - в приложении № 6.

Кроме вышеуказанной документации в организации оформляются приказы, указания и решения:

•на проектирование объекта информатизации и назначение ответ­ ственных исполнителей;

•на проведение работ по защите информации;

•о назначении лиц, ответственных за эксплуатацию объекта инфор­ матизации;

•на обработку в АС (обсуждение в ЗП) конфиденциальной инфор­ мации.

Для объектов информатизации, находящихся в эксплуатации до вве­ дения в действие настоящего документа, может быть предусмотрен, по ре­ шению их заказчика (владельца), упрощенный вариант их доработки (мо­ дернизации), переоформления организационно-распорядительной, техно­ логической и эксплуатационной документации.

Для такого рода объектов информатизации в соответствии с требова­ ниями настоящего документа разрабатывается программа аттестационных испытаний.

Эксплуатация объекта информатизации осуществляется в полном со­ ответствии с утвержденной организационно-распорядительной и эксплуа­ тационной документацией с учетом требований и положений, изложенных

вразделах 4-6 настоящего документа.

Сцелью своевременного выявления и предотвращения утечки инфор­

мации по техническим каналам, исключения или существенного затрудне­ ния несанкционированного доступа к ней и предотвращения специальных программно-технических воздействий, вызывающих нарушение конфиден­ циальности, целостности или доступности информации, в организации про­ водится периодический (не реже одного раза в год) контроль состояния за­ щиты информации. Контроль осуществляется службой безопасности орга­ низации.

Отраслевыми и федеральными органами контроля состояние защиты информации проводится не реже одного раза в 2 года и заключается в оцен­ ке:

73

*соблюдения требований нормативно-методических документов по защите информации;

*работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

*знаний и выполнения персоналом своих функциональных обязан­

ностей в части защиты информации.

При проведении аттестации объектов информатизации и периодичес­ ком контроле состояния защиты конфиденциальной информации органи­ зациями могут, при необходимости, использоваться «Временные методики оценки защищенности конфиденциальной информации...» .

Собственник или владелец конфиденциальной информации имеет пра­ во обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информаци­ онных системах.

Работы по поиску электронных устройств съема информации («закла­ дочных устройств»), возможно внедренных в ЗП или технические средства, могут быть проведены организациями, имеющими соответствующие лицен­ зии ФАПСИ или ФСБ России. В организациях Минобороны России рабо­ ты по поиску электронных устройств съема информации («закладочных устройств»), возможно внедренных в ЗП или технические средства, могут проводиться подразделениями, допущенными к проведению этих работ в установленном порядке.

Комплексность использования способов и средств защиты информации*

Рассмотренные выше каналы утечки информации разнообразны по физическим особенностям их проявления и требуют использования соот­ ветствующих способов и средств защиты информации, что в большинстве встречающихся на практике случаев приводит к использованию самой раз­ личной аппаратуры (и, соответственно, различных подкомплексов или под­ систем) защиты - акустической, электромагнитной, визуально-оптической и т.п. Комплексирование и практическое использование подобных систем вызывают определенные затруднения, если подобная система состоит из довольно большого количества подсистем. Каждая из подсистем включает одно, а иногда и несколько технических средств защиты. Функции включе­ ния, выключения и контроля их работоспособности в процессе эксплуата­ ции возлагаются на специально подготовленных специалистов службы бе­ зопасности. Подобные функции выполнимы, если требуется обеспечить за­ щиту одного помещения. Однако, если защите подлежит несколько удален­ ных друг от друга помещений, то практическое использование систем за­ щиты может вызвать определенные трудности, связанные с порядком и пос­ ледовательностью включения, выключения, контроля состояния и работос­ пособности технических средств защиты.

* Материалы раздела предоставлены Сталенковым С.Е.

74

-невозможность обеспечения в реальном масштабе времени комп­ лексного мониторинга технических каналов утечки информации на защищаемом объекте;

-невозможность обеспечения централизованного контроля эффек­ тивности функционирования системы защиты объекта в целом;

-необходимость использования значительного количества специа­

сти (вернее безответственности) и сложность в доказательстве вины персонала нарушающего порядок применения средств защиты ин­ формации;

В качестве выхода из подобной ситуации в (Л.81) предложена техно­ логия автоматизированных систем защиты информации, основанная на се­

на, которая объединяет разрозненные локальные подсистемы и оконечное оборудование в единую систему. К такой шине могут подключаться:

-активное оборудование защиты информации (генераторы радио­ шума, виброакустические генераторы, подавители средств аудио­ записи и сотовой связи и т.п.);

-контрольные датчики (акселерометры, детекторы поля и т.п.);

-центральная консоль для управления системой.

Каждое оконечное устройство имеет в системе свой адрес, благодаря которому становится возможным осуществлять взаимодействие этого уст­ ройства с центральной консолью, любым другим компонентом или груп­ пой компонентов, входящих в систему. Физическое соединение локальных устройств осуществляется по топологиям “звезда”, “шина”, “дерево”. При таком построении системы выход из строя какого-либо локального устрой­ ства не влияет на работу остальных элементов системы.

Наличие специализированного управляющего программного обеспече­ ния позволяет программировать систему, получать данные объективного контроля в реальном масштабе времени и осуществлять централизованный мониторинг с помощью персонального компьютера.

Система, созданная с использованием такой технологии, обладает гиб­ костью, расширение системы и изменение её функций или характеристик достигается перестановкой, добавлением или перепрограммированием её компонентов.

75

ГЛАВА II.

АКУСТИЧЕСКИЙ КАНАЛ УТЕЧКИ ИНФОРМАЦИИ

Основные физические характеристики акустических волн и восприятие их человеком

Звук - это распространяющиеся в упругих средах (газах, жидкостях и

ды, проявляющиеся в возникновении акустических колебаний - механичес­ ких колебаний частиц упругой среды, распространяющихся от источника колебаний в окружающее пространство в виде волн различной формы и длительности.

При колебаниях в воздухе или другом газе говорят о воздушном зву­ ке, в жидкости (воде) - о звуке в жидкости (подводном звуке), в твердых телах - о структурном (вибрационном) звуке.

Источники акустических колебаний разделяют на:

первичные - механические колебательные системы, например, орга­ ны речи человека, музыкальные инструменты, струны, звуки работающей техники;

вторичные - электроакустические преобразователи - устройства для преобразования акустических колебаний в электрические и обратно (пье­

от 16-20 Гц до 16-20 кГц. Колебания с указанными частотами называют звуковыми. Неслышимый звук с частотой ниже 16 Гц называют инфразву­ ком, выше 20 кГц- (в пределах 1,5*104- 109 Гц;) - ультразвуком, в пределах 109 - 1013 Гц. - гиперзвуком.

Звуковые колебания характеризуются звуковым давлением, интенсив­ ностью звука, громкостью, мощностью звука.

Энергетической характеристикой звуковых колебаний является интен­

76

сивность звука, которая зависит от амплитуды звукового давления, а так­ же от свойств среды распространения и формы волны (Л. 3,94,107).

Одной из характеристик любой произвольной точки звукового поля является звуковое давление, вызываемое переменной составляющей звуко­ вой волны.

Звуковое давление - это переменная часть давления, возникающего при прохождении звуковой волны в среде распространения. Измеряется эта сила, действующая на единицу площади в паскалях (Па).

Звуковое давление в воздухе изменяется от 10-5 Па вблизи порога слы­ шимости до ~ 103Па - болевой порог при самых громких звуках (шум реак­ тивного самолета). При средней громкости разговора переменная состав­ ляющая звукового давления порядка 0,1 Па.

Минимальное звуковое давление, на которое реагирует человеческое ухо, составляет 2*10-5 Па, максимально же воспринимаемое без ощущения боли звуковое давление 102 Па (рис. 2.1 и 2.2). Следовательно, диапазон звуковых давлений, воспринимаемых человеческим ухом, составляет 107.

Иногда для характеристики звука применяется уровень звукового дав­ ления, выраженного в децибелах (дБ) - отношение величины данного зву­ кового давления Р к пороговому значению звукового давления равному Р0= 2*10-5 Па:

N = 20lg (Р/Р0) дБ

Плоскость между порогом слышимости и болевым порогом называ­ ют плоскостью слышимости. Эта плоскость характеризуется следующими данными:

-по частоте колебаний - 20Гц - 20 кГц;

-по звуковому давлению - 0-140 дБ.

Область разговорной речи (рис.2.1) обозначена горизонтальной штри­ ховкой (по частоте колебаний 0,2-4,0 кГц, по звуковому давлению 35-85 дБ), негромкой музыкивертикальной штриховкой (Л.11, 41).

Среднее по времени значение мощности звука, отнесенное к единице площади, называют интенсивностью звука (силой звука).

Интенсивность звука оценивается уровнем интенсивности по шкале децибел (Л.94):

N = 10 lg (J/J0),

где J - интенсивность данного звука, J0 = 10-12 Вт/м2.

С интенсивностью звука связана громкость звука - величина, характе­ ризующая слуховое ощущение от данного звука (рис.2.2). Громкость звука сложным образом зависит от звукового давления (интенсивности звука). При неизменной частоте и форме колебаний громкость звука растет с уве­ личением интенсивности звука (звукового давления). При одинаковом зву­ ковом давлении громкость звука гармонических колебаний различной час­ тоты различна, т.е. на разных частотах одинаковую громкость могут иметь звуки разной интенсивности.

77

Громкость звука данной частоты оценивают, сравнивая ее с громкос­ тью чистого тона частотой 1000 Гц. Уровень звукового давления (в дБ) чи­ стого тона с частотой 1000 Гц, столь же громкого, как и измеряемый звук, называют уровнем громкости данного звука в фонах (рис.2.2).

Как видно из приведенных кривых равной громкости, для того, чтобы получить уровень громкости в 4 фона на частоте 500 Гц, необходимо зву­ ковое давление в 20 дБ, а для такого же уровня громкости на частоте 20 Гц необходимо звуковое давление в 60 дБ.

Из кривых, приведенных на графике видно что при уровне 30-40 фон на частоте 1000 Гц в диапазоне частот 250-500 Гц происходит уменьшение громкости примерно на 6 дБ. Это уменьшение при приеме речевого сооб­ щения с помощью технических средств можно компенсировать частотной коррекцией (при приеме сообщений артикулянтами такая коррекция не­ возможна).

Весь диапазон интенсивностей, при которых волна вызывает в чело­ веческом ухе звуковое ощущение (от 10-12 до 10 Вт/м2), соответствует значе­ ниям уровня громкости от 0 до 130 дБ. В табл. 2.1 приведены ориентиро­ вочные значения уровня громкости для некоторых звуков.

78

Рис.2.1. Плоскость слышимости уха.

Рис. 2.2. Кривые равной громкости

79

Человек как приемник звука.

Человек воспринимает звук посредством органа слуха, костей черепа, а при особо сильном звуке - всем телом.

Применительно к утечке акустической информации следует вести речь о возможностях нашего органа слуха.

Орган слуха - ухо и следующие за ним органы обработки сигнала на пути к мозгу позволяют человеку воспринимать звуковой процесс в обшир­

80