Информационная безопасность / Общий_лекция

301

(тональный) сигнал. При постукивании по обследуемой поверхности в различных точках зоны обнаружения показания индикаторного устройства не изменяются. Если закладка работает в активном режиме, то при наличии соответствующего режима у нелинейного локатора через головные телефоны можно прослушать тестовый акустический сигнал, создаваемый в контролируемом помещении.

Объекты, представляющие собой нелинейный элемент с неустойчивым "р-n" переходом, преимущественно создают отклики (помеховые сигналы), которые на индикаторном устройстве датчика дают свечение столбца, сигнализирующего о приеме отраженного сигнала на третьей гармонике, а в некоторых случаях - неустойчивым свечением столбца, сигнализирующего о приеме отраженного сигнала на второй гармонике.

Помеховые сигналы могут создавать все металлические контакты, в том числе и ржавчина. Наиболее часто помеховые сигналы создают мебельные пружины, выключатели и розетки любого класса, гвозди в мебели, скрепки для бумаги, металлическая арматура бетонных стен, металлические замки кейсов и т.д. В ряде случаев помеховый сигнал могут создавать некоторые участки древесностружечных плит и других материалов, включающих смолы и лаки [56, 60, 70].

Неустойчивое свечение светодиодов (быстро меняющиеся уровни показаний столбца, сигнализирующего о приеме отраженного сигнала на второй гармонике), трески в головных телефонах (или прослушивание частоты механической вибрации) при достаточно легком постукивании по обследуемой поверхности являются характерным признаком помехового сигнала от контактов и ржавых поверхностей. При достаточно сильном механическом воздействии по обследуемой поверхности (например, ударе резиновым молотком) в ряде случаев помеховый сигнал может совсем исчезнуть [56, 60, 70].

Таким образом, значительное превышение уровня свечения светодиодов столбца, сигнализирующего о приеме отраженного сигнала на третьей гармонике, или неустойчивое свечение светодиодов столбца, сигнализирующего о приеме отраженного сигнала на второй гармонике, свидетельствует об обнаружении помехового объекта.

При использовании некоторых нелинейных радиолокаторов (например, NR 900E) идентификацию обнаруженного объекта можно проводить по уровню и характеру тонового сигнала в головных телефонах при перемещении датчика (антенны) параллельно обследуемой поверхности от точки обнаружения к периферии на 30 ... 40 см и обратно. При наличии электронного устройства прослушивается тон максимальной громкости (наблюдается минимум шума) в головных телефонах в точке его

302

обнаружения, а при наличии помехового объекта - минимум (шум в головных телефонах возрастает) (рис. 6.9) [70].

Значительно затруднено обнаружение с использованием нелинейных локаторов закладных устройств, выполненных по МОП-технологии в экранированном корпусе. У таких устройств уровень отраженного сигнала на второй гармонике незначителен, а в ряде случаев (в зависимости от характеристик закладки и нелинейного локатора) и полностью отсутствует. Поэтому для обнаружения подобных устройств наряду с нелинейными локаторами необходимо использовать высокочувствительные селективные металлоискатели.

Методика поиска закладных устройств с использованием ручных металлоискателей аналогична поиску с использованием индикаторов электромагнитного поля. Поиск осуществляется путем последовательного обхода помещения и предметов, находящихся в нем. При этом антенну (датчик) металлоискателя необходимо постепенно перемещать вдоль всей обследуемой поверхности или объектов на расстоянии 5 ... 10 см от них.

303

При приближении антенны (датчика) к металлическому предмету на некоторое расстояние, определяемое положением регулятора чувствительности металлоискателя и характеристиками обнаруженного предмета, срабатывает звуковая или световая сигнализация.

Идентификация обнаруженного предмета осуществляется визуально или с использованием нелинейного локатора.

Для обследования кирпичных и бетонных стен, деревянных конструкций и т.д. наряду с нелинейными локаторами и металлоискателями могут использоваться ультразвуковые приборы, позволяющие выявлять пустоты. При приближении зонда (датчика) прибора к месту, где находится пустота, происходит изменение частоты высокочастотного ультразвукового генератора прибора. Обнаруженное место обследуется визуально и с использованием нелинейного локатора и металлоискателя.

Для выявления пустот в стенах помещения также могут применяться тепловизоры. За счет разницы теплопроводности бетона или кирпича стен и воздуха пустот их границы наблюдаются на экране тепловизора.

Переносные рентгеновские установки применяют для просмотра предметов неизвестного назначения, а также анализа выявленных в стенах пустот.

Методика обнаружения закладных устройств с использованием рентгеновских комплексов следующая. Обследуемый предмет (или стена) размещается между излучателем (рентгеновским аппаратом) и просмотровой приставкой (устройством для визуализации) или рентгено-телевизионном преобразователем, при этом плоскость экрана преобразователя должна находиться как можно ближе к контролируемому предмету.

Окно излучателя запрещается направлять в сторону операторов.

При включении рентгеновского аппарата изображение предмета наблюдается оператором на флюороскопическом или телевизионном экранах. На рентгеновском изображении по характерным видовым признакам распознаются элементы электронных устройств: печатные платы, микросхемы, диоды, транзисторы, конденсаторы, соединительные проводники и т.д.

Если обследуемый предмет не должен содержать элементы электронных устройств (как, например, пепельница, зажигалка, ваза и т.д.), то обнаружение последних однозначно свидетельствует о наличии встроенных в предмет закладных устройств.

Сложнее обстоит дело с обнаружением закладных устройств в электронных приборах, например, ПЭВМ, телевизоре или телефонном аппарате. В этом случае необходимо иметь рентгеновские снимки основных блоков и печатных плат обследуемых устройств в типовом исполнении. Выявление

304

закладных устройств осуществляется в результате визуального сравнения и выявления различий имеющихся рентгеновских снимков (изображений) типовых блоков (или печатных плат) с реально наблюдаемыми изображениями [122]. Проведение данного вида работ требует высокой подготовки и большого опыта работы оператора.

Из переносных рентгеновских установок наиболее целесообразно использовать рентгенотелевизионные комплексы, так как последние обладают большей степенью защиты персонала от облучения, позволяют проводить дополнительную обработку и запоминание изображений и осуществлять (при сопряжении с ПЭВМ) автоматическое сравнение получаемых изображений с эталонными, хранящимися в базе данных.

Радиационная безопасность операторов, эксплуатирующих рентгенотелевизионные установки, обеспечивается прежде всего выбором максимально возможных расстояний между излучателем и оператором, а также использованием естественных и искусственных защитных преград.

Целесообразно размещение рентгеновского излучателя и рентгенотелевизионного преобразователя в одном помещении, а остальных блоков - в другом. В этом случае при наличии глухой стены между помещениями толщиной не менее 0,5 кирпича число включений рентгено-телевизионной установки не ограничивается [57].

Дозовые пределы облучения операторов в соответствии с Нормами радиационной безопасности (НРБ-96) не должны превышать 20мЭв (2 рентгена) в год для операторов, входящих в категорию А (профессиональные работники), и 1мЭв (0,1 рентгена) в год - для операторов категорий "лица из населения". Например, при эксплуатации установки "Рона" в течение года одним оператором (входящим в категорию А), находящимся на расстоянии 5 м сбоку от излучателя, предельное число включений установки не должно превышать 2000 в год [57].

Контроль облучения операторов должен быть организован в соответствии с основными санитарными правилами работы с радиоактивными веществами и другими источниками ионизирующих излучений (ОСП 72/87) [57].

305

5. Организация защиты информации от утечки по техническим каналам.

5.1. Лицензирование деятельности и сертификация средств защиты информации

5.1.1. Государственное лицензирование деятельности в области защиты информации

Основные принципы, организационную структуру системы государственного лицензирования деятельности юридических лиц - предприятий, организаций и учреждений независимо от их организационно-правовой формы по защите информации, циркулирующей в технических средствах и помещениях, а также порядок лицензирования и контроля за деятельностью предприятий, получивших лицензию, устанавливает Положение о государственном лицензировании деятельности в области защиты информации от 27 апреля 1994 г. № 10 [63].

В Положении используются следующие основные понятия [63]:

лицензирование в области защиты информации - деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации;

лицензия в области защиты информации - оформленное соответствующим образом разрешение на право проведения тех или иных работ в области защиты информации; лицензиат в области защиты информации - сторона, получившая право на

проведение работ в области защиты информации; защита информации - комплекс мероприятий, проводимых с целью

предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.; эффективность защиты информации - степень соответствия достигнутых

результатов действий по защите информации поставленной цели защиты;

контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты; безопасность информации - состояние информации, информационных

ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.;

306

шифровальные средства:

реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации (в т.ч. и входящие в системы и комплексы защиты информации от НСД), циркулирующей в технических средствах, при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику; реализующие криптографические алгоритмы преобразования информации

аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и "электронной подписи"; аппаратные, программные и аппаратно-программные средства, системы и

комплексы, предназначенные для изготовления и распределения ключевых документов, используемых в шифровальных средствах, независимо от вида носителя ключевой информации; охраняемые сведения - сведения, составляющие государственную и иную охраняемую законом тайны;

аттестование объекта в защищенном исполнении - официальное подтверждение наличия на объекте защиты необходимых и достаточных условий, обеспечивающих выполнение установленных требований руководящих документов и норм эффективности защиты информации;

техническое средство обработки информации (ТСОИ) - техническое средство, предназначенное для приема, накопления, хранения, поиска, преобразования, отображения и передачи информации по каналам связи.

Система государственного лицензирования деятельности предприятий в области защиты информации является составной частью государственной системы защиты информации.

Деятельность системы лицензирования организуют государственные органы по лицензированию, которыми являются Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) и Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).

Государственные органы по лицензированию в пределах их компетенции, установленной законодательством Российской Федерации, осуществляют лицензирование деятельности в области защиты информации в соответствии с перечнями видов деятельности, приведенными в табл. 7.1 и 7.2 [63].

Лицензия на право деятельности по защите информации (далее - лицензия) выдается предприятию государственным органом по лицензированию по представлению органа государственной власти Российской Федерации на конкретные виды деятельности на три года, по истечении которых

307

осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии [63].

Лицензия выдается подавшему заявку на ее получение предприятиюзаявителю, располагающему производственной и испытательной базой, нормативной и методической документацией, научным и инженернотехническим персоналом, при условии их соответствия требованиям государственного органа по лицензированию на основании результатов экспертизы деятельности предприятия по заявленному направлению работ [63]. С этими требованиями заявитель имеет право ознакомиться в государственном органе по лицензированию.

Для получения лицензии представляются [63]: заявление; представление органа государственной власти Российской Федерации; материалы экспертизы, подтверждающие наличие необходимых условий для проведения работ по заявленным видам деятельности, а также профессиональную пригодность руководителя предприятия-заявителя или лиц, уполномоченных им для руководства лицензируемой деятельностью; копии документов о государственной регистрации предпринимательской деятельности и устава предприятия.

Отказ в выдаче лицензии производится в случаях, если:

•отсутствуют необходимые условия для проведения работ по заявленному виду деятельности;

•профессиональная подготовка руководителя предприятия-заявителя или лиц, уполномоченных им для руководства лицензируемой деятельностью, не соответствует установленным требованиям;

• в представленных для получения лицензии документах указаны недостоверные сведения; заявитель в установленном законом порядке признан виновным в недобросовестной конкуренции в лицензируемой деятельности [63].

Таблица 7.1

Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию Гостехкомиссией России

№ Наименование видов деятельности предприятий в области защиты п/п

1. Сертификация, сертификационные испытания защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств по требованиям безопасности, программных средств защиты информации, программных средств контроля защищенности информации.

308

2.Аттестование систем информатизации, автоматизированных систем управления, систем связи и передачи данных, технических средств приема, передачи и обработки подлежащей защите информации, технических средств и систем, не обрабатывающих эту информацию, но размещенных в помещениях, где она обрабатывается (циркулирует), а также помещений, предназначенных для ведения переговоров, содержащих охраняемые сведения, на соответствие требованиям руководящих и нормативных документов по безопасности информации и контроль защищенности информации в этих системах, технических средствах и помещениях.

3.Разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации.

4.Проведение специсследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ.

5. Проектирование объектов в защищенном исполнении.

6.Подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне.

Таблица 7.2 Перечень видов деятельности предприятий в области защиты информации, подлежащих

лицензированию ФАПСИ

№ Наименование видов деятельности предприятий в области защиты п/п

1.Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт шифровальных средств, предназначенных для криптографической защиты информации при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг по шифрованию информации.

2.Эксплуатация негосударственными предприятиями шифровальных средств, предназначенных для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.

3.Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации, а также закрытых (с помощью шифровальных средств) систем и комплексов телекоммуникаций органов государственной власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности.

4.Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание специализированных защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля

309

защищенности информации, предназначенных для использования в высших органах государственной власти РФ.

5.Проведение работ по выявлению электронных устройств перехвата информации

впомещениях государственных структур на территории Российской Федерации.

6.Проведение работ по выявлению электронных устройств перехвата информации

втехнических средствах государственных структур на территории Российской Федерации.

7.Проведение специсследований на ПЭМИН специализированных защищенных ТСОИ, предназначенных для использования в высших органах государственной власти Российской Федерации.

8.Проектирование в защищенном исполнении объектов высших органов государственной власти Российской Федерации.

9.Подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне.

Предприятия, осуществляющие деятельность по защите информации, виды которой указаны в табл. 7.1 и 7.2, без лицензии, несут ответственность, предусмотренную законодательством Российской Федерации.

Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют: государственные органы по лицензированию; лицензионные центры; предприятия-заявители [63].

Государственные органы по лицензированию в пределах своей компетенции осуществляют следующие функции [63]:

•организуют обязательное государственное лицензирование деятельности предприятий;

•выдают государственные лицензии предприятиям-заявителям;

•осуществляют научно-методическое руководство лицензионной деятельностью;

•утверждают перечни лицензионных центров;

•согласовывают составы экспертных комиссий, представляемые лицензионными центрами;

•осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации;

•обеспечивают публикацию необходимых сведений о лицензионной деятельности;

•рассматривают спорные вопросы, возникающие в ходе экспертизы предприятия-заявителя.

Лицензионные центры осуществляют следующие функции [63]:

•формируют экспертные комиссии и представляют их состав на согласование с руководителями соответствующих государственных органов по лицензированию и отраслей промышленности;

310

•планируют и проводят работы по экспертизе заявителей;

•контролируют полноту и качество выполненных лицензиатами работ;

•систематизируют отчеты лицензиатов и ежегодно представляют сводный отчет в соответствующие государственные органы по лицензированию;

•принимают участие в работе соответствующих государственных органов по лицензированию при рассмотрении спорных вопросов, возникающих в процессе экспертизы предприятия-заявителя, и фактов некачественной работы лицензиатов.

Лицензионные центры могут создаваться при государственных органах по лицензированию, в регионах и отраслях промышленности (ведомствах) Российской Федерации [63].

Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Отраслевые лицензионные центры создаются совместными решениями руководителей комитетов (министерств) и соответствующих государственных органов по лицензированию. Региональные лицензионные центры создаются совместными решениями органов регионального управления и соответствующих государственных органов по лицензированию. Организация взаимодействия отраслевых, региональных лицензионных центров с соответствующими органами управления отражается в указанных решениях.

Лицензионные центры могут формироваться из состава специальных центров Гостехкомиссии России, центров правительственной связи ФАПСИ, отраслевых и региональных учреждений, предприятий и организаций по защите информации.

Для всестороннего обследования предприятий-заявителей с целью оценки их возможностей проводить работы по защите информации в избранном направлении при лицензионных центрах создаются экспертные комиссии [63]. Они формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, Вооруженных Сил, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

Лицензиаты обязаны [63]:

•осуществлять свою деятельность в строгом соответствии с требованиями нормативных документов по защите информации;

•обеспечивать тайну переписки, телефонных переговоров, документальных и иных сообщений физических и юридических лиц, пользующихся их услугами;