Технические каналы утечки информации, их классификация
Определение потенциальных каналов и методов несанкционированного доступ к информации
Гл а в а 7
Комплексный подход к защите информации предприятия предполагает в первую очередь выявление всевозможных угроз, включая каналы утечки информации.Реализация такого подхода требует объединения различных подсистем безопасности в единый комплекс, оснащенный общими техническими средствами, каналами связи, программным обеспечением и базами данных. При выявлении технических каналов утечки информации рассматриваются основное оборудование технических средств обработки информации (ТСОИ), оконечные устройства, соединительные линии, распределительные и коммутационные системы, оборудование электропитания, схемы заземления и т.п.
Наряду с основными учитываются и вспомогательные технические средства и системы (ВТСС). К ВТСС относятся |40| следующие:
• различного рода телефонные средства и системы;
|
|
• средства и системы передачи данных в системе радиосвязи;
• средства и системы охранной и пожарной сигнализации;
• средства и системы оповещения и сигнализации;
• контрольно-измерительная аппаратура;
• средства и системы кондиционирования;
• средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и др.);
• средства электронной оргтехники;
• средства и системы электрочасофикации;
• иные технические средства и системы.
Рассмотрим подробнее особенности технических каналов утечки информации (ТКУИ), под которыми понимаются совокупности объектов технической разведки, физической среды и средств технической разведки, которыми добываются разведывательные данные.
Классификационными признаками ТКУИ могут быть:
• способ перехвата информации (пассивный, активный);
• физическая природа сигналов-переносчиков информации (электромагнитные, акустические, тепловые колебания, визуальная информация и т.д.).
Основные ТКУИ, имеющиеся в помещении, приведены на рис. 7.1 [3].
Технические каналы утечки информации можно разделить на иектромагнитные, электрические и параметрические.
Электромагнитные каналы утечки формируются в результате побочного электромагнитного излучения:
• элементов ТСОИ, сигнал которых (ток, напряжение, частота и фаза) изменяется так же, как и информационный;
• ВЧ-генераторов ТСОИ и ВТСС, которое может непреднамеренно модулироваться электрическим сигналом, наведенным информационным сигналом;
|
|
• НЧ-усилителей технических средств передачи информации (ГСПИ) в результате случайного преобразования отрицательной обратной связи в паразитную положительную, что может привести к самовозбуждению и переходу усилителя из режима усиления и режим автогенерации сигналов, модулированных информационным сигналом.
Электрические каналы утечки появляются вследствие наводки:
• электромагнитного излучения, возникающего при передаче информационных сигналов элементами ТСОИ, а также из-за наличия гальванической связи между соединительными линиями ТСОИ и другими проводниками или линиями ВТСС;
• информационных сигналов в цепи электропитания вследствие магнитной связи между выходным трансформатором усилителя и трансформатором системы электропитания, а также неравномерной нагрузки выпрямителя, приводящей к изменению потребляемого тока в соответствии с изменениями информационного сигнала;
• информационных сигналов в цепи заземления за счет гальванической связи с землей различных проводников (в том числе нулевого провода сети электропитания, экранов) и металлических конструктивных элементов, выходящих за пределы контролируемой зоны безопасности.
Кроме того, электрические каналы утечки могут возникать в результате съема информации с помощью различных автономных аппаратных или так называемых закладных устройств, например минипередатчиков. Излучение этих устройств, устанавливаемых и ТСОИ, модулируется информационным сигналом и принимается специальными устройствами за пределами контролируемой зоны.
Возможно применение специального «ВЧ-облучения», электромагнитное поле которого взаимодействует с элементами ТСОИ
Таблица 7.1. Описание каналов утечки информации
Наименование канала утечки | Описание |
Акустический | 1) Мембранный перенос энергии речевых сигналов через перегородки за счет малой массы и слабого затухания сигнала. 2) Утечка информации за счет слабой акустической изоляции (щелей, неплотностей, отверстий). К таким неплотностям можно отнести: — щели возле закладных труб кабелей, — щели у стояков системы отопления, — вентиляцию, — неплотности двери и дверной коробки |
Вибрационный | Утечка информации за счет продольных колебаний ограждающих конструкций и арматуры системы центрального отопления |
Электроакустический | Утечка информации за счет акустоэлектриче-ского преобразования в приемнике линии радиотрансляции |
ПЭМИН | Утечка информации за счет модуляции полезным сигналом ЭМ-полей, образующихся при работе бытовой техники |
Выявление и учет факторов, воздействующих или могущих воздействовать на защищаемую информацию (угроз безопасности информации) в конкретных условиях, в соответствии о ГОСТ Р 51275 — 99 |14| составляют основу для планирования и осуществления мероприятий, направленных на защиту информации на объекте информатизации.
Перечень необходимых мер защиты информации определяется по результатам обследования объекта информатизации с учетом соотношения затрат на защиту информации с возможным ущербом от ее разглашения, утраты, уничтожения, искажения, нарушения санкционированной доступности информации и работой способности обрабатывающих ее технических средств, а также с учетом реальных возможностей перехвата и раскрытия содержания информации. При этом основное внимание должно быть уделено защите информации, в отношении которой угрозы безопасЛ ности информации реализуются без применения сложных техник ческих средств перехвата информации:
• речевой информации, циркулирующей в защищаемых помещениях;
• информации, обрабатываемой средствами вычислительной техники, от несанкционированного доступа и несанкционированных действий;
|
|
• информации, выводимой на экраны видеомониторов;
• информации, передаваемой по каналам связи, выходящим за пределы КЗ.
Для защиты информации рекомендуется использовать сертифицированные по требованиям безопасности информации технические средства обработки и передачи информации, технические и программные средства зашиты информации. Надо учесть, •но при обработке документированной конфиденциальной информации на объектах информатизации в государственных органах власти, предприятиях и учреждениях средства защиты информационных систем подлежат обязательной сертификации.
Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации. (Здесь и далее под аттестацией понимается комиссионная приемка объекта информатизации силами предприятия с обязательным участием специалиста по защите информации.)
Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей учреждений и предприятий, эксплуатирующих объекты информатизации.
Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации — на руководителей подразделений по защите информации (служб безопасности) учреждения (предприятия) [40].
На предприятии должны быть определены подразделения (или шлельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работе использованием конфиденциальной информации.
Разработка и внедрение СЗИ осуществляются во взаимодействии разработчика со службой безопасности предприятия-заказчика, которая осуществляет методическое руководство и участвует: в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, со-i часовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объек-юн информатизации.
|
|
Организация работ по созданию и эксплуатации объектов ин-1 форматизации и их СЗИ определяется в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по! зашите информации» и должна предусматривать:
• порядок определения защищаемой информации;
. порядок привлечения подразделений предприятия, специач лизированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информати! зации;
• порядок взаимодействия всех занятых в этой работе органи-J заций, подразделений и специалистов;
• порядок разработки, ввода в действие и эксплуатацию объек! тов информатизации;
• ответственность должностных лиц за своевременность и ка4 чество формирования требований по технической защите инфор! мации, за качество и научно-технический уровень разработки СЗИ1
Устанавливаются следующие стадии создания системы защити информации:
• предпроектная стадия, включающая предпроектное обследон вание объекта информатизации, разработку аналитического обо! снования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
• стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в состав объекта информатизации;
• стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации. На предпроектной стадии по обследованию объекта информатизации:
• устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
• определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
. определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;
• определяются условия расположения объектов информатизации относительно границ КЗ;
• определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент физические, функциональные и технологические связи как внуж
|ш этих систем, так и с другими системами различного уровня и назначения;
• определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, \с;гавия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
• определяются режимы обработки информации в АС в целом и в отдельных компонентах;
• определяется класс защищенности АС;
• определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодей-г гния между собой и со службой безопасности;
• определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.
По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.
На основе действующих нормативных правовых актов и мето-шческих документов по защите конфиденциальной информации с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.
Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера. Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя.
Предпроектное обследование может быть поручено специали-шрованному предприятию, имеющему соответствующую лицен-шю. но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия. Ознакомление специалистов мого предприятия с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.
Аналитическое обоснование необходимости создания СЗИ должно содержать:
• информационную характеристику и организационную структуру объекта информатизации;
• характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, кинологического процесса обработки информации;
• возможные каналы утечки информации и перечень меропри-мгий по их устранению и ограничению;
• перечень предлагаемых к использованию сертифицирован^ ных средств зашиты информации;
• обоснование необходимости привлечения специализирован^ ных организаций, имеющих необходимые лицензии на право про! ведения работ по защите информации;
• оценку материальных, трудовых и финансовых затрат на рай работку и внедрение СЗИ;
• ориентировочные сроки разработки и внедрения СЗИ;
• перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизация
Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конем руктором (должностным лицом, обеспечивающим научно-техни! ческое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем пред| приятия-заказчика, -к- Техническое (частное техническое) задание на разработку СЗ!
должно содержать:
• обоснование разработки;
• исходные данные создаваемого (модернизируемого) объек информатизации в техническом, программном, информационно и организационном аспектах;
• класс защищенности АС;
• ссылку на нормативные документы, с учетом которых буд разрабатываться СЗИ и приниматься в эксплуатацию объект и; форматизации;
• конкретизацию требований к СЗИ на основе действующ нормативно-методических документов и установленного клас защищенности АС;
• перечень предполагаемых к использованию сертифицирова ных средств защиты информации;
• обоснование проведения разработок собственных средств щиты информации, невозможности или нецелесообразности и пользования имеющихся на рынке сертифицированных среде защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения;
• перечень подрядных организаций-исполнителей видов рабо
• перечень предъявляемой заказчику научно-технической продукции и документации.
Техническое (частное техническое) задание на разработку СЗ подписывается разработчиком, согласовывается со службой бе-опасности предприятия-заказчика, подрядными организациями утверждается заказчиком.
В целях дифференцированного подхода к защите информации производится классификация АС по требованиям защищенности от НСД к информации. Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа |1'Д) Гостехкомиссии России «Автоматизированные системы. liiiuiiTa от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» оформляются актом.
Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из кри-1гриев, на основании которых он был установлен.
На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и мланных заказчиком ограничений на финансовые, материальные, Трудовые и временные ресурсы осуществляются следующие мероприятия:
• разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;
• разработка раздела технического проекта на объект информатизации в части защиты информации;
• строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и мон-1ижом технических средств и систем;
• разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
• закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
• закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств зашиты информации и их установка;
• разработка (доработка) или закупка и последующая сертифи-■Пия по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутству-н>| требуемые сертифицированные программные средства;
• организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к К'чническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
• разработка и реализация разрешительной системы доступа Пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;
• определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер зашиты информации, обучение назначенных лиц специфике работ по зашите информации на стадии эксплуатации объекта информатизации;
• выполнение генерации пакета прикладных программ в комплексе с программными средствами зашиты информации;
• разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по зашите информации (приказов, инструкций и других документов);
• выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.
Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической зашите информации и утверждается заказчиком.
Мероприятия по зашите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.
На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация СЗИ:
. пояснительная записка с изложением решений по комплексу! организационных мер и программно-техническим (в том числ! криптографическим) средствам обеспечения безопасности инфорЛ мации, состава средств защиты информации с указанием их соот! ветствия требованиям ТЗ;
• описание технического, программного, информационном обеспечения и технологии обработки (передачи) информации; 1
• план организационно-технических мероприятий по подго«| товке объекта информатизации к внедрению средств и мер защн ты информации;
• технический паспорт объекта информатизации;
• инструкции и руководства по эксплуатации технических I программных средств защиты для пользователей, администраторе системы, а также для работников службы защиты информации. I
На стадии ввода в действие объекта информатизации и СЗИ осуществляются:
• опытная эксплуатация средств зашиты информации в коми лексе с другими техническими и программными средствами в цо| лях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (пм редачи) информации;
• приемо-сдаточные испытания средств зашиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
• аттестация объекта информатизации по требованиям безопасности информации.
На этой стадии оформляются:
• акты внедрения средств зашиты информации по результатам их приемо-сдаточных испытаний;
• предъявительский акт к проведению аттестационных испытаний;
• заключение по результатам аттестационных испытаний.
При положительных результатах аттестации на объект информатизации оформляется аттестат соответствия требованиям по безопасности информации.
Кроме указанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:
• о проектировании объекта информатизации, создании соответствующих подразделений разработки и назначении ответственных исполнителей;
• о формировании группы обследования и назначении ее руководителя;
• о заключении соответствующих договоров на проведение работ;
• о назначении лиц, ответственных за эксплуатацию объекта информатизации;
• о начале обработки в АС (обсуждения в защищаемом помещении) конфиденциальной информации.
В целях своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предот-нращения специальных программно-технических воздействий, нызываюших нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния зашиты информации. Контроль осуществляется службой безопасности учреждения (предприятия), а также отрасле-мыми и федеральными органами контроля (для информации, режим зашиты которой определяет государство) и заключается в оценке:
• соблюдения нормативных и методических документов Гос-|ехкомиссии России;
• работоспособности применяемых средств защиты информации в соответствии с их эксплутационной документацией;
• знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.
157L/l
Таблица 7.2. Основные методы и средства получения и защиты информации | |||||||||
Типовая ситуация | Канал утечки информации | Методы и | средства | ||||||
получения информации | зашиты | ||||||||
Разговор в помещении и на улице | Акустический | Подслушивание: диктофон, микрофон, полуактивная система | Шумовые генераторы, поиск закладных устройств, защитные фильтры, ограничение доступа | ||||||
Виброакустический | Стетоскоп, вибродатчик | ||||||||
Гидроакустический | Гидроакустический датчик | ||||||||
Акустоэлектронный | Специальные радиоприемники | ||||||||
Разговор по телефону: проводному радиотелефону | Акустический | Подслушивание (диктофон, микрофон, полуактивная система) | Тоже | ||||||
Сигнал в линии | Параллельный телефон, прямое подключение, электромагнитный датчик, диктофон, телефонная закладка | Маскирование, скремблирование, шифрование, спецтехника | |||||||
Наводки | Специальные радиотехнические устройства | Спецтехника | |||||||
ВЧ-сигнал | Радиоприемники | Маскирование, скремблирование, шифрование, спецтехника | |||||||
Документ на бумажном носителе: изготовление | Непосредственно документ | Кража, прочтение, копирование, фотографирование | Ограничение доступа, спецтехника | ||||||
Продавливание ленты или бумаги | Кража, прочтение | Оргтехмероприятия | |||||||
почтовое отправление | Акустический шум принтера | Аппаратура акустического контроля | Устройства шумоподавления | ||||||
Паразитные сигналы, наводки | Специальные радиотехнические устройства | Экранирование | |||||||
Непосредственно документ | Кража, прочтение | Специальные методы | |||||||
Документ на небумажном носителе: изготовление передача документа по каналам связи | Носитель | Хищение, копирование, считывание | Контроль доступа, физическая защита, криптозащита | ||||||
Изображение на дисплее | Визуальный, копирование, фотографирование | Контроль доступа, физическая защита, криптозащита | |||||||
Паразитные сигналы, наводки | Специальные радиотехнические устройства | Контроль доступ поиск закладок, | а, криптозащита, экранирование | ||||||
Электрический сигнал | Аппаратные закладки | ||||||||
Программный продукт | Программные закладки | ||||||||
Электрические и оптические сигналы | Несанкционированное подключение, имитация зарегистрированного пользователя | Криптозащита | |||||||
Производственный процесс | Отходы, излучение и т. п. | Спецаппаратура различного назначения | Оргтехмероприятия, физическая защита | ||||||
Работа с удаленными базами данных | Сигналы, наводки | Программные и аппаратные закладки, несанкционированный доступ, компьютерные вирусы | Криптозащита, специальное программное обеспечение, оргтехмероприятия, антивирусная защита | ||||||
Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.
При необходимости по решению руководителя предприятия в местах размещения средств обработки информации могут проводиться работы по обнаружению и изъятию «закладок», предназначенных для скрытого перехвата защищаемой информации. Такие работы могут проводиться организациями, имеющими соответствующие лицензии ФСБ России на данный вид деятельности.
При выборе средств защиты информации можно руководствоваться табл. 7.2 [3].