Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ОПИСАНИЕ ЗАЩИЩАЕМОГО ОБЪЕКТА ИНФОРМАТИЗАЦИИ.doc
Скачиваний:
192
Добавлен:
25.08.2019
Размер:
1.02 Mб
Скачать

Оценка возможностей технических разведок и других источников угроз безопасности конфиденциальной информации.

Для добывания конфиденциальных сведений могут использоваться:

  • портативная возимая (носимая) аппаратура радио, акустической, визуально-оптической и телевизионной разведки, а также разведки побочных электромагнитных излучений и наводок (ПЭМИН);

  • автономная автоматическая аппаратура акустической и телевизионной разведки, а также разведки ПЭМИН;

  • компьютерная разведка, использующая различные способы и средства несанкционированного доступа к информации и специальных воздействий на нее.

Угроза компьютерной разведки объектам защиты возможна в случае подключения АС, обрабатывающим информацию ограниченного доступа к внешним, в первую очередь - глобальным, сетям.

Портативная возимая аппаратура разведки может применяться из ближайших зданий и автомобилей на стоянках вблизи зданий администрации (организации). Такая аппаратура маскируется и перевозится в чемоданах, портфелях, атташе-кейсах, упаковочных коробках и т.п.

Портативная носимая аппаратура имеет ограниченные возможности и может быть использована лишь для уточнения данных, или перехвата информации в непосредственной близости от защищаемых объектов.

Автономная автоматическая аппаратура радио, акустической, телевизионной, а также разведки ПЭМИН используется для длительного наблюдения за объектом защиты.

Несанкционированный доступ к информации и специальные воздействия на нее могут осуществляться при ее обработке в отдельных средствах вычислительной техники, в локальных вычислительных сетях администрации, в региональных и глобальных телекоммуникационных системах.

Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ. Это возможно, например, вследствие:

  • непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем;

  • случайного прослушивания телефонных разговоров при проведении профилактических работ в сетях телефонной связи;

  • некомпетентных или ошибочных действий пользователей и администраторов АС при работе вычислительных сетей;

  • просмотра информации с экранов дисплеев и других средств ее отображения.

Оценка возможностей средств технической разведки осуществляется с использованием нормативных документов ФСТЭК России.

Наиболее опасной для администрации является аппаратура портативной (возимой и носимой) разведки рабочих электромагнитных излучений и аппаратура акустической речевой разведки, которая может применяться с прилегающей к зданиям администрации территорий, а также автономная автоматическая аппаратура акустической речевой разведки, скрытно устанавливаемая внутри здании администрации (организации).

Оценка возможности НСД к информации в средствах вычислительной техники и автоматизированных системах осуществляется с использованием следующих руководящих документов ФСТЭК России:

Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации;

Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;

Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по технической защите конфиденциальной информации.

НСД к информации и специальные воздействия на нее реально возможны, если не выполняются требования перечисленных выше документов, дифференцированные в зависимости от степени конфиденциальности обрабатываемой информации, уровня полномочий пользователей по доступу к конфиденциальной информации и режимов обработки данных в автоматизированных системах.

Доступ к информации, как с территории России, так и из-за ее пределов, может позволить на основе анализа и статистической обработки получать сведения конфиденциального характера. Результаты анализа типовых угроз безопасности в автоматизированных системах приведены в приложении №17.

Организационные и технические мероприятия по технической защите

конфиденциальной информации.

Защита конфиденциальной информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в соответствии со ''Специальными требованиями и рекомендациями по технической защите конфиденциальной информации'' (СТР-К) в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации.

Защите подлежит речевая информация и информация, обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе.

Объектами защиты при этом являются:

  • средства и системы информатизации (СВТ, АС различного уровня и назначения на базе СВТ, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки конфиденциальной информации;

  • технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

  • защищаемые помещения.

Защита информации на объекте информатизации достигается выполнением комплекса мероприятий и применением средств защиты информации от утечки по техническим каналам, несанкционированного доступа, программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе ее обработки, передачи и хранения, а также работоспособности технических средств.

Разработка мер, и обеспечение защиты конфиденциальной информации осуществляются подразделением по защите конфиденциальной информации (службой безопасности) или отдельными специалистами, назначаемыми главой администрации (руководителем организации) для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии ФСТЭК России либо ФСБ России на право осуществления соответствующих работ.

Для защиты конфиденциальной информации, используются сертифицированные по требованиям безопасности технические средства защиты.

Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами ФСТЭК России.

Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на главу администрации (руководителя организации), эксплуатирующего объекты информатизации.

К основным мероприятиям по технической защите конфиденциальной информации в защищаемых помещениях (ЗП) относятся:

  • Определение перечня ЗП по результатам анализа циркулирующей в них конфиденциальной информации и условий ее обмена (обработки), в соответствии с нормативными документами ФСТЭК России.

  • Назначение сотрудников, ответственных за выполнение требований по технической защите конфиденциальной информации в ЗП, далее сотрудники, ответственные за безопасность информации.

  • Разработка частных инструкций по обеспечению безопасности информации в ЗП.

  • Обеспечение эффективного контроля за доступом в ЗП, а также в смежные помещения.

  • Инструктирование сотрудников, работающих в ЗП о правилах эксплуатации ПЭВМ, других технических средств обработки информации, средств связи с соблюдением требований по технической защите конфиденциальной информации.

  • Проведение в ЗП обязательных визуальных (непосредственно перед совещаниями) и инструментальных (перед ответственными совещаниями и периодически раз в квартал) проверок на наличие внедренных закладных устройств, в том числе осуществление контроля всех посторонних предметов, подарков, сувениров и прочих предметов, оставляемых в ЗП.

  • Исключение неконтролируемого доступа к линиям связи, управления и сигнализации в ЗП, а также в смежных помещениях и в коридоре.

  • Оснащение телефонных аппаратов ГАТС, расположенных в ЗП, устройствами высокочастотной развязки подавления слабых сигналов, а также поддержание их в работоспособном состоянии. Для спаренных телефонов достаточно одного устройства на линию, выходящую за пределы ЗП. Оснащение телефонов ГАТС в ЗП первой группы (категории) и телефонов основных абонентов специальными шифраторами (скремблерами).

  • Осуществление сотрудниками, ответственными за безопасность информации, контроля за проведением всех монтажных и ремонтных работ в выделенных и смежных с ними помещениях, а также в коридорах.

Обеспечение требуемого уровня звукоизоляции входных дверей ЗП для чего:

  • входные двери обиваются звукоизолирующим материалом (например, войлоком), обеспечивается плотное их прилегание без щелей и перекосов к дверной коробке;

  • устанавливаются пороги;

  • притворы уплотняются специальным шнуром по ГОСТ 10174-72 или пористой резиной;

  • щели между дверной коробкой и стеной заделываются прокладками по ГОСТ 10174-72 "Прокладки уплотняющие пенополиуретановые";

  • двери ЗП первой и второй категории оснащаются тамбурами, внутренние отсеки тамбуров обиваются звукоизолирующим материалом (например, войлоком).

Обеспечение требуемого уровня звукоизоляции окон ЗП для чего:

  • заделываются щели между оконными коробками и стенами;

  • проводится регулярный осмотр оконных стекол, стекла, имеющие трещины и сколы, заменяются на новые, которые устанавливаются либо на герметизирующую замазку, либо на виброизолирующую прокладку без щелей и перекосов;

  • окна оснащаются сплошными шторами из плотной портьерной ткани или жалюзи;

  • окна ЗП первой и второй категории оснащаются системой активного зашумления.

Демонтирование или заземление (с обеих сторон) лишних

Отключение при проведении совещаний в ЗП всех неиспользуемых электро- и радиоприборов от сетей питания и трансляции.

Выполнение перед проведением совещаний следующих условий:

  • окна должны быть плотно закрыты и зашторены;

  • двери плотно прикрыты;

  • в ЗП первой и второй категории должны быть включены системы активного зашумления.