ЛЕКЦИЯ
«Технические мероприятия по технической защите информации на объектах информационной деятельности»
Вопросы:
1.РЕАЛИЗАЦИЯ ПЕРВИЧНЫХ ТЕХНИЧЕСКИХ МЕР ЗАЩИТЫ
2.РЕАЛИЗАЦИЯ ОСНОВНЫХ ТЕХНИЧЕСКИХ МЕР ЗАЩИТЫ
3. ПРИЕМКА, ОПРЕДЕЛЕНИЕ ПОЛНОТЫ И КАЧЕСТВА РАБОТ
1. РЕАЛИЗАЦИЯ ПЕРВИЧНЫХ ТЕХНИЧЕСКИХ МЕР ЗАЩИТЫ
В процессе реализации первичных технических мер защиты требуется обеспечить:
- блокирование каналов утечки информации;
- блокирование несанкционированного доступа к информации или ее носителям;
- проверку исправности и работоспособность технических средств обеспечения ИД.
Блокирование каналов утечки информации может осуществляться:
демонтажем технических средств, линий связи, сигнализации и управления, энергетических сетей, использование которых не связано с жизнеобеспечением предприятия и обработкой ИсОД;
удалением отдельных элементов технических средств, являющихся средой распространения полей и сигналов, из помещений, где циркулирует ИсОД;
временным отключением технических средств, не участвующих в обработке ИсОД, от линий связи, сигнализации, управления и энергетических сетей;
применением способов и схемных решений по защите информации, не нарушающих основные технические характеристики средств обеспечения ИД.
Блокирование несанкционированного доступа к информации или ее носителям может осуществляться:
- созданием условий работы в пределах установленного регламента;
- исключением возможности использования не прошедших проверку (испытания) программных, программно-аппаратных средств.
Проверку исправности и работоспособности технических средств и систем обеспечения ИД необходимо проводить в соответствии с эксплуатационными документами.
Выявленные неисправные блоки и элементы могут способствовать утечке или нарушению целостности информации и подлежат немедленной замене (демонтажу).
2. РЕАЛИЗАЦИЯ ОСНОВНЫХ ТЕХНИЧЕСКИХ МЕР ЗАЩИТЫ
В процессе реализации основных технических мер защиты требуется:
- установить средства выявления и индикации угроз и проверить их работоспособность;
- установить защищенные средства обработки информации, средства ТЗИ и проверить их работоспособность;
- применить программные средства защиты в средствах вычислительной техники, автоматизированных системах, осуществить их функциональное тестирование и тестирование на соответствие требованиям защищенности;
- применить специальные инженерно-технические сооружения, средства (системы).
Выбор средств обеспечения ТЗИ обусловливается фрагментарным или комплексным способом защиты информации.
Фрагментарная защита обеспечивает противодействие определенной угрозе.
Комплексная защита обеспечивает одновременное противодействие множеству угроз.
Средства выявления и индикации угроз применяются для сигнализации и оповещения владельца (пользователя, распорядителя) ИсОД об утечке информации или нарушении ее целостности.
Средства ТЗИ применяются автономно или совместно с техническими средствами обеспечения ИД для пассивного или активного скрытия ИсОД.
Для пассивного скрытия применяются фильтры-ограничители, линейные фильтры, специальные абонентские устройства защиты и электромагнитные экраны.
Для активного скрытия применяются узкополосные и широкополосные генераторы линейного и пространственного зашумления.
Программные средства применяются для обеспечения:
- идентификации и аутентификации пользователей, персонала и ресурсов системы обработки информации;
- разграничения доступа пользователей к информации, средствам вычислительной техники и техническим средствам автоматизированных систем;
- целостности информации и конфигурации автоматизированных систем;
- регистрации и учета действий пользователей;
- маскировки обрабатываемой информации;
- реагирования (сигнализации, отключения, приостановки работ, отказа в запросе) на попытки несанкционированных действий.
Специальные инженерно-технические сооружения, средства и системы применяются для оптического, акустического, электромагнитного и другого экранирования носителей информации.
К ним относятся специально оборудованные светопроницаемые, технологические и санитарно-технические проемы, а также специальные камеры, перекрытия, навесы, каналы и т.п.
Размещение, монтаж и прокладку специальных инженерно-технических средств и систем, в том числе систем заземления и электропитания средств обеспечения ИД, следует осуществлять в соответствии с требованиями нормативных документов по ТЗИ.
Технические характеристики, порядок применения и проверки средств обеспечения ТЗИ приводятся в соответствующей эксплуатационной документации.
3. ПРИЕМКА, ОПРЕДЕЛЕНИЕ ПОЛНОТЫ И КАЧЕСТВА РАБОТ
По результатам выполнения рекомендаций акта обследования и реализации мер защиты ИсОД следует составить в произвольной форме акт приемки работ по ТЗИ, который должен быть подписан исполнителем работ, лицом, ответственным за ТЗИ, и утвержден руководителем предприятия.
Примечание. При необходимости акт приемки работ может быть согласован с заинтересованными организациями.
Для определения полноты и качества работ по ТЗИ следует провести аттестацию. Аттестация выполняется организациями, которые имеют лицензии на право деятельности в области ТЗИ.
Объектами аттестации являются системы обеспечения ИД и их отдельные элементы, в которых циркулирует информация, подлежащая технической защите.
В ходе аттестации требуется:
- установить соответствие аттестуемого объекта требованиям ТЗИ;
- оценить качество и надежность мер защиты информации;
- оценить полноту и достаточность технической документации для объекта аттестации;
- определить необходимость внесения изменений и дополнений в организационно-распорядительные документы и т.п.
Порядок аттестации устанавливается нормативными документами системы ТЗИ:
НД ТЗІ 2.1-001-2001 “Створення комплексів технічного захисту інформації.
Атестація комплексів. Основні положення”
Затверджено наказом Департаменту спеціальних телекомунікаційних систем та
захисту інформації Служби безпеки України від “ 9 ” лютого 2001 р. № 2
Підготовчі технічні заходи
1. Підготовчі технічні заходи включають у себе первинні заходи блокування електроакустичних перетворювачів і ліній зв'язку, які виходять за межі виділених приміщень.
2. Блокування ліній зв'язку може виконуватися такими способами:
- відключенням ліній зв'язку ТЗПІ та ДТЗС або встановленням найпростіших схем захисту;
- демонтажем технічних засобів, кабелів, кіл, проводів, що виходять за межі виділених приміщень;
- видаленням за межі виділених приміщень окремих елементів технічних засобів, які можуть бути джерелом виникнення каналу витоку інформації.
3. Блокування каналів можливого витоку ІзОД у системах міського та відомчого телефонного зв'язку може здійснюватися:
- відключенням дзвінкових (викличних) ліній телефонного апарата;
- установленням у колі телефонного апарата безрозривної розетки для тимчасового відключення;
- установленням найпростіших пристроїв захисту.
4. Запобігання витоку ІзОД через діючі системи гучномовного диспетчерського та директорського зв'язку здійснюється застосуванням таких захисних заходів:
- установленням у викличних колах вимикачів для розриву кіл;
- установленням на вході гучномовців вимикачів (реле), які дають можливість розривати кола по двох проводах;
- забезпеченням можливості відключення живлення мікрофонних підсилювачів;
- установленням найпростіших пристроїв захисту.
5. Захист ІзОД від витоку через радіотрансляційну мережу, що виходить за межі виділеного приміщення, може бути забезпечений:
- відключенням гучномовців по двох проводах;
- вмиканням найпростіших пристроїв захисту.
Для служби оповіщення слід виділити чергові абонентські пристрої поза виділеними приміщеннями; кола до цих пристроїв повинні бути прокладені окремим кабелем.
6. Блокування каналів витоку ІзОД через кола вторинних електрогодинників системи електрогодинофікації здійснюється відключенням їх на період проведення закритих заходів.
7. Запобігання витоку ІзОД через системи пожежної та охоронної сигналізацій здійснюється відключенням датчиків пожежної та охоронної сигналізації на період проведення важливих заходів, що містять ІзОД, або застосуванням датчиків, які не потребують спеціальних заходів захисту.
8. З метою виключення можливості витоку ІзОД під час роботи незахищених технічними засобами телевізорів, радіоприймачів, звукопідсилювальної та звуковідтворювальної апаратури необхідно на період проведення важливих заходів зазначені пристрої відключати від мережі електроживлення по двох проводах.
9. Блокування витоку ІзОД через системи електронної оргтехніки та кондиціонування може бути забезпечене такими заходами:
- розташуванням зазначених систем усередині контрольованої території без винесення окремих компонентів за її межі;
- електроживленням систем від трансформаторної підстанції, що знаходиться всередині контрольованої території.
При невиконанні зазначених вище умов системи повинні відключатися від мережі електроживлення по двох проводах.
10. Захист ІзОД від витоку через кола електроосвітлення та електроживлення побутової техніки повинен здійснюватися підключенням зазначених кіл до окремого фідера трансформаторної підстанції, до якого не допускається підключення сторонніх користувачів.
У випадку невиконання зазначеної вимоги електропобутові прилади на період проведення закритих заходів повинні відключатися від кіл електроживлення.
Технічні заходи
1. Технічні заходи є основним етапом робіт з технічного захисту ІзОД і полягають у встановленні ОТЗ, забезпеченні ТЗПІ та ДТЗС пристроями ТЗІ.
2. Під час вибору, встановлення, заміни технічних засобів слід керуватися паспортами, технічними описами, інструкціями з експлуатації, рекомендаціями з установлення, монтажу та експлуатації, що додаються до цих засобів.
3. ОТЗ повинні розміщуватися, по можливості, ближче до центру будинку або в бік найбільшої частини контрольованої території. Складові елементи ОТЗ повинні розміщуватися в одному приміщенні або в суміжних.
Якщо зазначені вимоги невиконувані, слід вжити додаткових заходів захисту:
- установити високочастотні ОТЗ в екрановане приміщення (камеру);
- установити в незахищені канали зв'язку, лінії, проводи і кабелі спеціальні фільтри та пристрої.
- прокласти проводи і кабелі в екранувальних конструкціях;
- зменшити довжину паралельного пробігу кабелів і проводів різних систем з проводами та кабелями, що несуть ІзОД;
- виконати технічні заходи щодо захисту ІзОД від витоку колами заземлення та електроживлення.
4. До засобів технічного захисту відносяться:
- фільтри-обмежувачі та спеціальні абонентські пристрої захисту для блокування витоку мовної ІзОД через двопровідні лінії телефонного зв'язку, системи директорського та диспетчерського зв'язку;
- пристрої захисту абонентських однопрограмних гучномовців для блокування витоку мовної ІзОД через радіотрансляційні лінії;
- фільтри мережеві для блокування витоку мовної ІзОД колами електроживлення змінного (постійного) струму;
- фільтри захисту лінійні (високочастотні) для встановлення в лініях апаратів телеграфного (телекодового) зв'язку;
- генератори лінійного зашумлення;
- генератори просторового зашумлення;
- екрановані камери спеціальної розробки.
5. Для телефонного зв'язку, не призначеного для пересилання ІзОД, рекомендується застосовувати апарати вітчизняного виробництва, сумісні з пристроями захисту. Телефонні апарати іноземного виробництва можуть застосовуватися за умови проходження спецдосліджень і позитивного висновку компетентних організацій системи ТЗІ про їх сумісність з пристроями захисту.
6. Вибір методів і способів захисту елементів ТЗПІ та ДТЗС, що мають мікрофонний ефект, залежить від величини їх вхідного опору на частоті 1 кГц.
Елементи з вхідним опором менше 600 Ом (головки гучномовців, електродвигуни вентиляторів, трансформатори тощо) рекомендується відключати по двох проводах або встановлювати у розрив кіл пристрої захисту з високим вихідним опором для зниження до мінімальної величини інформативної складової струму.
Елементи з високим вхідним опором (електричні дзвінки, телефонні капсулі, електромагнітні реле) рекомендується не тільки відключати від кіл, а й замикати на низький опір або закорочувати, щоб зменшити електричне поле від цих елементів, зумовлене напругою, наведеною під час впливу акустичного поля. При цьому слід враховувати, що обраний спосіб захисту не повинен порушувати працездатність технічного засобу і погіршувати його технічні параметри.
7. Високочастотні автогенератори, підсилювачі (мікрофонні, приймання, пересилання, гучномовного зв'язку) та інші пристрої, що містять активні елементи, рекомендується відключати від ліній електроживлення у "черговому режимі" або "режимі чекання виклику".
8. Підключення пристроїв захисту слід проводити без порушення або зміни електричної схеми і ТЗПІ, і ДТЗС.
9. Захист ІзОД від витоку кабелями та проводами рекомендується здійснювати шляхом:
- застосування екранувальних конструкцій;
- роздільного прокладання кабелів ОТЗ, ТЗПІ та ДТЗС.
10. При неможливості виконання вимог щодо рознесення кабелів електроживлення ОТЗ, ТЗПІ та ДТЗС електроживлення останніх слід здійснювати або екранованими кабелями, або від розділових систем, або через мережеві фільтри.
11. Не допускається утворення петель та контурів кабельними лініями. Перехрещення кабельних трас різного призначення рекомендується здійснювати під прямим кутом одна до одної.
12. Електроживлення ОТЗ повинно бути стабілізованим за напругою та струмом для нормальних умов функціонування ОТЗ і забезпечення норм захищеності.
У колах випрямного пристрою джерела живлення необхідно встановлювати фільтри нижніх частот. Фільтри повинні мати фільтрацію по симетричних і несиметричних шляхах поширення.
Необхідно передбачити відключення електромережі від джерела живлення ОТЗ під час зникнення напруги в мережі, під час відхилення параметрів електроживлення від норм, заданих в ТУ, та під час появи несправностей у колах електроживлення.
13. Усі металеві конструкції ОТЗ (шафи, пульти, корпуси розподільних пристроїв та металеві оболонки кабелів) повинні бути заземлені.
Заземлення ОТЗ слід здійснювати від загального контуру заземлення, розміщеного в межах контрольованої території, з опором заземлення за постійним струмом відповідно до вимог стандартів.
Система заземлення повинна бути єдиною для всіх елементів ОТЗ і будуватися за радіальною схемою.
Утворення петель і контурів у системі заземлення не допускається.
14. Екрани кабельних ліній ТЗПІ, що виходять за межі контрольованої території, повинні заземлятися в кросах від загального контура заземлення в одній точці для виключення можливості утворення петель по екрану та корпусах.
У кожному пристрої повинна виконуватися умова безперервності екрана від входу до виходу. Екрани слід заземляти тільки з одного боку. Екрани кабелів не повинні використовуватися як другий провід сигнального кола або кола живлення.
Екрани кабелів не повинні мати електричного контакту з металоконструкціями. Для монтажу слід застосовувати екрановані кабелі з ізоляцією або одягати на екрани ізоляційну трубку.
У довгих екранованих лініях (мікрофонних, лінійних, звукопідсилювальних) рекомендується ділити екран на ділянки для одержання малих опорів для високочастотних струмів і кожну ділянку заземляти тільки з одного боку.
15. Вихідні дані для здійснення ТЗІ наведені у додатку N 1.
16. Результати виконання технічних заходів оформляються актом приймання робіт, складеним у довільній формі, підписуються виконавцем робіт і затверджуються керівником організації (підприємства).